パスワードを安全に管理する方法

Webブラウザにパスワードを保存すると毎回入力する手間が省けて便利ですが、実は危険な行為です。その理由と対策についてご説明します。

強力なパスワードは長く、複雑で、数字や記号が混じったものが理想的だとされています。その上アカウントごとにユニークなものを使用するため、覚えていることは不可能です。そのため、ブラウザーにパスワードを保存すれば、毎回パスワードを再入力する必要がなくなり、手間が省けると思っている人も多いと思いますが、これは本当に安全なのでしょうか?今回のブログでは、ブラウザーにパスワードを保存することが推奨できない 3 つの理由と、より安全に管理できるパスワードマネージャーを使用する必要がある理由について説明します。

1.パスワード収集ツール

ブラウザーにパスワードを保存する場合問題となるのは、使いやすさのためにセキュリティが犠牲になることです。これは、少なくとも 3 つの最も人気のあるブラウザー、Google Chrome、Mozilla Firefox、Microsoft Edgeに当てはまります。どんなリスクがあるのでしょうか。

それは、すべてのブラウザがパスワードを予測可能な場所、つまり誰からも隠さずフォルダーに保存するためです。パスワード自体は暗号化されるものの、暗号化キーも一緒に保存され、他人がすぐにアクセスできてしまいます。攻撃者はこのキーを使用してパスワードを解読し、盗むことができます。たとえると、ドアはしっかりと施錠されていますが、鍵は玄関マットの下にあり、それが全世界に知られているという茶番的な状況です。

実際、ブラウザーはこの状況を利用して互いに競い合っています。ユーザーが簡単に切り替えられるように、保存されているパスワードを含むすべての保存データを古いブラウザーからインポートするよう促すのが一般的です。

他に誰がこの機能を使用していると思いますか?認証情報を窃取する専用のマルウェア(適切にはパスワードスティーラーと呼ばれる)です。そのマルウェアには、一連のクラスが存在します。それを使ってサイバー犯罪者は、ブラウザーに保存されているパスワードが含まれているフォルダーを調べ、玄関マットの下の鍵を見つけ、パスワードを復号化してサイバー犯罪者のサーバーにアップロードします。その後、これらのパスワードはデータベース化され、ダークウェブ上で他の犯罪者にまとめて販売され、アカウントを乗っ取るために使用されます(サイバー犯罪の世界では、狭い専門分野に特化することが長い間標準となってきました)。

ブラウザに保存されているパスワードを盗むことがいかに簡単かを理解するには、Python スクリプトのみを使用してChrome、Firefox、Edge からパスワードを迅速に抽出する方法を明確に示したデモ動画を見ることをお勧めします。

Google Chrome、Mozilla Firefox、および Microsoft Edge からのパスワードの抽出

Google Chrome、Mozilla Firefox、Microsoft Edge に保存されているパスワードを抽出する方法のデモ。(出典)

2.デバイスへの物理的アクセス

デバイスに物理的にアクセスするだけで、パスワードを入手することも可能です。高度なハッキングスキルは必要ありません。ブラウザーに保存されているパスワードを抜き出すためのスクリプトは、オンラインで簡単に入手できます。必要なのはそれを実行するだけです。また、パソコンのロックを解除したままにしておくなど、あなたのデバイスに物理的にアクセスできる家族や職場の同僚はより簡単にハッキングすることが可能です。ハッカーがあなたのオフィスに潜入するケースも考えられます。ブラウザに保存されているすべてのパスワードが潜在的に敵の手に渡る可能性があるのです。さらに、ハッカーは、パスワードが保存されているサイト一覧の設定を調べ、そのうちの 1 つにログインして通信内容を閲覧し、そこから情報を見つけたりもできます。

世界で最も人気のあるブラウザ、Google Chromeには、そのような行為を防ぐ基本的なメカニズムさえ備えられていません。また、Firefox の開発者は、ユーザーが保存したパスワードをプライマリパスワードで保護できるようにするまでは対応したものの、この機能はデフォルト設定では無効にされています。プライマリパスワードは実際に有効化して設定する必要がありますが、多くの Firefox ユーザーがそれに気づいていないでしょう。

3.ブラウザーアカウントのハイジャック

次の問題は、ユーザーが便宜上、異なるデバイス上のブラウザを同期するためのアカウントを作成できるすべてのブラウザに共通する問題です。これは、ブックマーク、ブラウザセッション、拡張機能、設定、および保存されたパスワードがすべて同期され、クラウドに保存されることを意味します。また、ハッカーがあなたのブラウザアカウントに侵入したとしても、同じアカウントを使用して別のコンピュータにログインするだけで済みます。そうすれば、SNSからネット銀行に至るまで、パスワードがブラウザに保存されているすべてのアカウントが利用できるようになります。

パスワードマネージャーを使用すべき理由

カスペルスキー パスワードマネージャーは、認証情報を記憶し、サイトでログインするときにログイン情報を自動入力できるように設定できます。しかし、ブラウザー開発者とは異なり、当社はセキュリティについて妥協しません。当社のパスワード マネージャーでは、プライマリパスワードがデフォルト設定で使用され、それを無効にすることはできません。保存されているすべてのパスワードは常に保護されている状態です。したがって、誰かがあなたのパソコンに物理的にアクセスしたとしても、パスワードマネージャーに保存されている認証情報を使用してサイトにログインすることはできません。プライマリパスワードの入力が必要だからです。それはあなた以外の誰も知りません(付箋で冷蔵庫やパソコン画面横などに貼り付けておかない限り…)。

もう一つの利点として、カスペルスキー パスワードマネージャーでは、もちろんすべてのパスワードが暗号化されて保存されるということです。そして、重要なのは、復号化キーを「玄関マットの下」に保管しないことです。暗号化キーは、プライマリパスワードに基づいて AES-256 アルゴリズムを使用して即時に生成されるため、暗号化キーを保存する必要はありません。そのため、たとえ窃盗者があなたのデバイスに侵入できたとしても、何も盗むことはできません。すべてのパスワードは安全に暗号化されています。ちなみに、使用する場合は、カスペルスキー パスワードマネージャーの一環としてカスペルスキー プレミアム、マルウェアの侵入さえも防ぎます。

最後に一つだけ。当然のことながら、デバイス間でパスワードを同期するためにクラウドを使用します。すべてのパスワードは、マイ カスペルスキーアカウントにリンクされています。しかし、たとえハッカーが何らかの方法でこのアカウントにアクセスしたとしても、カスペルスキー パスワードマネージャーに保存されたパスワードはまだ完全に安全でしょう。それは、クラウドでは暗号化された形式で排他的に保存され、復号化キーがプライマリパスワードに基づいて生成されるためです。プライマリパスワードはユーザーのみが知っており、これがなければ攻撃者は歯が立たなくなります。

また、最新のアップデートで、カスペルスキー パスワードマネージャーは、Opera や Opera GX のブラウザーにも対応するようになりました。これで、Chrome(および Chromi um ベースのブラウザ)、Safari、Firefox、Edge、Operaと、人気のあるすべてのブラウザーでご利用いただけるようになりました。

ヒント