2013年12月26日木曜日

Firefox のパスワードマネージャに保存されない「アカウント情報」を登録するアドオン Saved Password Editor - Secure Login と併用する

1. ID とパスワードが保存されないサイト

SnapCrab_No-0649重要な個人情報にアクセスするサイトでは、ログインするときの ID とパスワードがブラウザに保存されないことがある。

例えば、My docomo(マイドコモ)三菱東京UFJ銀行 では、一度ログインしても、ID とパスワードをブラウザが保存されない。理由は、ログインフォームに「オートコンプリート」を抑制する属性が指定されているため。

 

フォームの属性に autocomplete=off が付いている

パスワード記憶しないサイトが多すぎる!それでも記憶させたいから - それマグで! によると、

パスワード学習をいつもと違うブラウザ(chrome/safari)にしたくて、パスワード入れてみたが学習しないサイトが多い。

いくつかよく使うサイトにログインしました。しかしパスワードを覚えない。…

autocomplete=off をつけていることが多いようです

HTML5/フォーム/form要素 オートコンプリートを指定する - TAG index Webサイト

form要素に autocomplete="" を追加すると、オートコンプリート機能(入力内容の自動補完)を有効にするかどうかを指定できます。

Safari: 一部の Web サイトでは AutoFill 機能がオフになります

AutoFill 機能が特定の Web サイトやフォームの一部で機能しない場合、そのサイトの作成者が AutoFill 機能をオフにしているためと考えられます。金融関係のサイトでは、この現象がよく見られます(銀行、証券会社、信用組合、その他)。
Safari は、Web サイトの作成者が使用する AutoComplete="off" フラグを尊重します。

このようなサイトの ID とパスワードをブラウザに登録できるようにしたい。

ただし、セキュリティが相当しっかりしている環境でない限り、銀行のパスワードを保存しない方が良い。利便性とリスクを天秤にかけ、利便性がもたらすメリットがセキュリティ上の脆弱性をはるかに上回ると判断できなければならない。

 

2. ワンクリックでログインするためのアドオン Secure Login

Firefox には標準で ID とパスワードを保存・管理するパスワードマネージャーの機能がある。

Firefox のパスワードマネージャ | Firefox ヘルプ によると、

Firefox の パスワードマネージャは、Web サイトへのアクセスに利用するユーザ名とパスワードを安全に保存し、次回以降アクセスした際にそれらの情報を自動的に入力します。

SnapCrab_No-0648アドオン Secure Login  は、このパスワードマネージャの機能を補完してくれる。

 

ログインする際のワンクリックの手間をはぶいてくれる

通常、パスワードマネージャに登録された情報をログイン画面で呼び出すとき、以下の手順を踏む。

  1. ID を入力するフィールドをマウスでクリック
  2. ログインしたい ID を選択 。
  3. ログインボタンを押す。

SnapCrab_No-0652これに対して、Secure Login を利用すると、ログインする画面で、Secure Login  のボタンをワンクリックするだけで済む。

同一サイトで複数の ID を使い分けている場合も、Secure Login  のボタンをクリックして、ログインしたい ID を選択するだけで済む。 ID がログイン画面に入力されてしまっている Google アカウントにログインする際にも使える。

Secure Login から、保存されたアカウント情報を表示するには、

  • Secure Login のアイコンを右クリック > 保存されたパスワード

をクリックする。

SnapCrab_No-0651

 

3. パスワードを編集、保存する Saved Password Editor

SnapCrab_No-0717 Saved Password Editor は、ID とパスワードを編集し、保存できるアドオン。パスワードマネージャでは ID とパスワードを保存してくれないサイトでも利用できる。上記の Secure Login と組み合わせると使いやすい。

例えば、My docomo(マイドコモ) で ID とパスワードをブラウザに保存したい、以下のように行う。

  1. My docomo(マイドコモ) を開いて、ログインボタンを押す。
  2. ツールバーにある Secure Login のアイコンを右クリック > 保存されたパスワード を選択。
  3. 「保存されているパスワード」ダイアログにおいて、「新規作成」ボタンを押す。
    (※ Saved Password Editor をインストールすると、「新規作成」ボタンが表示されるようになる。 )
    SnapCrab_No-0649
  4. Saved Password Editor ダイアログで、「現在のページから取得」ボタンを押す。
  5. ユーザ名、パスワードを入力する。
    SnapCrab_No-0632

これにより、パスワードマネージャに ID とパスワードが保存される。

 

4. 「お守り」としてマスターパスワードを設定しておく

SnapCrab_No-0650Firefox で「マスターパスワード」を設定すると、パスワードマネージャにアクセスするためえに認証が必要となる。

Firefox のパスワードマネージャ | Firefox ヘルプ によると、

パスワードマネージャは、ユーザ名とパスワードを 暗号化 してハードディスクドライブに保存しますが、あなたのコンピュータを使用できる他人がそれらの情報を参照したり使用することができます。マスターパスワードでログイン情報を保護する の記事ではこのような事態を防ぎ、またコンピュータを紛失したり盗まれたりした場合でもユーザ名やパスワードの情報が保護されるようにする方法を説明します。

マスターパスワードでログイン情報を保護する | Firefox ヘルプ

マスターパスワード機能を利用することで、ローカルに保存されているあらゆるユーザ名やパスワードをマスターパスワードで保護できます。保存されているユーザ名やパスワードにアクセスする際は、まずマスターパスワードを入力しなければなりません。

マスターパスワードを設定することにより、多少セキュリティが向上するだろう。ただし、あくまでも「お守り」程度に考えたほうが良い。

Firefoxのマスターパスワードを回復するソフトウェア『FireMaster』(無料) : ライフハッカー[日本版] によると、

Firefox であれば、プロファイルフォルダ内にある、signons.sqlite と key3.db という 2つのファイルにパスワードデータと復号化のための鍵データがそれぞれ保存されています。

コンピュータにアクセスできる状態であれば、とりあえずこの 2つのファイルをコピーして盗み出すだけで、あとは別のコンピュータ上でゆっくりパスワードデータを復元すればいいってことになります。

Google Chrome では「マスターパスワード」という概念をもたない。

Chrome などで保存したパスワードが丸見えだから危険とか言われている件について | WWW WATCH によると、

彼の主張をものすごく簡単に意訳してしまえば、

  • 今の仕様を変えるつもりはない
  • Chrome に保存されたパスワードへのアクセス制限は OS のユーザーアカウント単位で行われている
  • そもそも、他人があなたのコンピュータに自由にアクセスできる時点で、Chrome のセキュリティ以前の問題だ。本質を見ろ
  • ユーザーアカウントを切り替えずに他人にコンピュータを貸すとか、アカウントをロックせずにコンピュータの前を長時間離れるとかをやめろ

 

関連記事