Chrome に保存されたパスワードのセキュリティ問題

tag-icon tag-icon firefox google-chrome security passwords
Chrome に保存されたパスワードのセキュリティ問題

Google Chromeにパスワードを保存すると、他の人が簡単にパスワードを見ることができます。

Setting -> Advance Settings -> Manage saved passwords -> Show (in required password field)

別のコンピューターから使用します。セキュリティ上の問題が発生しませんか? エントリとパスワードのすべてのドットか何か (実際のパスワードではない) のみを表示する方がはるかに安全だと思います。

パスワードをこんなに簡単に誰かに見せるなんて、受け入れられる考えでしょうか?

注: Firefox でも実際のパスワードが表示されますが、IE では確認していません。

クロム

ここに画像の説明を入力してください

答え1

これはセキュリティ上の弱点というよりは、セキュリティ上のトレードオフです。パスワードの性質上、パスワードが使用できる形で保存されている場合 (フォームに入力するなど)、パスワードを保存または暗号化するためにどのようなスキームが使用されているかに関係なく、パスワードは取得可能な形で保存されます。パスワードを表示するオプションを非表示にしても、アプリケーション自体がいつかはパスワードを取得する必要があるという事実は変わりません。そして、取得する場合、さまざまな方法でパスワードを抽出できます。

他の要因を考慮すると、これはかなり大きな穴のように聞こえます。

  • パスワードを取得するには、攻撃者は、パスワードが保存されているシステムのユーザー アカウントまたは管理者アカウントにアクセスする必要があります。通常は、マルウェア、ショルダー サーフィン、無人だがロックされていない PC などを介してアクセスしますが、物理的にアクセスできる場合は回復ツールを使用する場合もあります。
  • 攻撃者が上記のいずれかを実行できる場合、キーロガー、リモート コントロール ソフトウェア、スニファー、デスクトップ レコーディング ソフトウェアのインストールなど、他の方法でシステムを改ざんできるため、入力されたパスワードは保存されたパスワードよりも必ずしも安全であるとは限りません。
  • パスワードを保存するユーザーは、サイト間で一意のパスワードを使用する可能性がはるかに高く、強力なパスワードを使用する可能性もはるかに高くなります。
  • 保存されたパスワードは、キーボードの下に貼られた付箋よりも安全である可能性があります。これは、誰かがパスワードを見るには実際にユーザー アカウントにログオンする必要があるのに対し、付箋は記憶したり、盗んだり、手書きでコピーしたり、写真を撮ったりできるためです。

実際には、保存されたパスワードは、意志の固い攻撃者に対しては、入力されたパスワードとほぼ同じリスクがあります。なぜなら、意志の固い攻撃者は、ロックされていない PC やロックされていないオフィスなどの機会を狙っているからです。少し練習して事前に準備すれば、USB ドライブや Web サイトを 15 秒以内にルートキットのインストール用に準備できます。これは、コーヒー 1 杯を飲む時間よりも短い時間です。誰かが座って保存されたパスワードを見せてしまうのではないかと心配しているのであれば、セキュリティ保護されていない無人の PC を使用することで、はるかに大きな問題を抱えていることになります。

マスター パスワードは優れたツールですが、あまり信頼しすぎないでください。マスター パスワードを破るチャンスがある本格的な攻撃者は、すでにキーロガーを組み込むほどの力を持っています。ただし、システムがオフになっている間にデータベースを奪って実行する攻撃に対しては中程度の保護を提供し、不用意なスヌープに対しては優れた保護を提供しますが、パスワードを本気で盗もうとする人がロックされていない PC を利用するのを阻止することはできません。

要約すれば:

  • コンピュータにパスワードを保存すること自体は、セキュリティ上の重大なリスクではありませんが、コンピュータをロック解除したままにしたり、ログインしたまま他の誰かにコンピュータを使用させたりした場合、悪意のある人物があなたの不注意につけ込みやすくなるという悪化要因となります。(パスワードを保存していなくても、悪意のある人物は同じ被害を与えることができます。保存されたパスワードは、悪意のある人物にとって ...
  • パスワードをコンピュータに保存すると、安全で一意のパスワードを使用しやすくなります。
  • コンピュータをロックせずにその場を離れない、パスワードを共有しない、他のユーザーの PC で使用できるように自分のパスワードを保存しない、他の人に自分のログイン名で作業させないなどの基本的なセキュリティ規律は、パスワードを保存するかどうかよりもはるかに重要なセキュリティ上の考慮事項です。
  • オプション(多層防御)がある場合は、マスター パスワードを使用することをお勧めしますが、それによって誤った安心感を得ないようにしてください。これは追加の要素であり、他の部分で不注意になる言い訳にはなりません。

答え2

明確にしなければいけないことが 2 つあると思います。

  1. Firefox では、すべてのパスワードを安全に保つためにマスター パスワードを設定できます (パスワードを表示する前にマスター パスワードを入力するか、パスワード ボックスに入力する必要があります)。
  2. Chrome は、ユーザーの Windows ログイン パスワードを使用してパスワードを暗号化します。

Google がなぜ何かをするのかは、誰も(Google 以外)答えられるものではありません。これまでに Google が述べたことは次のとおりです。

「マスターパスワード機能を実装しないという当社の決定は、それが実際には強力なセキュリティ上の利点を提供するのではなく、誤ったセキュリティ感覚を生み出すという当社の信念に基づいています。」

私には理解できませんし、多くの人も理解できないでしょうが、これが現状です。Chromeのこの部分が気に入らない場合は、次のようなものを使用してください。ラストパス

答え3

パスワードは誰にも簡単には表示されません。Windows ユーザー アカウントにアクセスできる人は誰でも、パスワードを表示できません。あなた以外の誰も (パスワードを知っていれば) アカウントにアクセスできないはずなので、Chrome の動作がセキュリティ上の問題になる可能性は低いと思います。

Internet Explorerには保存されたパスワードを表示するネイティブの方法はありませんが、アカウントにアクセスできるすべてのユーザーがパスワードを表示できます。たとえば、次のようなツールを使用します。http://www.nirsoft.net/utils/internet_explorer_password.htmlネイティブの方法を提供しないことは、一種の疑似セキュリティと見なすことができます。

関連情報