危険と言ったのは誰だ!GoogleChromeでパスワード管理

「危険なイメージを印象付けた、適当な記事」の乱立ばかり目立つが、Google Chrome(クローム)のパスワード管理機能は十分安全性は高く、最低限の機能は揃っている

危険なイメージとは「パスワードを平文で閲覧できる」という部分で、接触を許す共有パソコンは事実上やりたい放題できるし、不正アクセスされてChromeから情報が漏れる前提もなんでもありとなっており、そんなものはChrome以前の問題である。

当サイトは強力なパスワード管理ソフトを紹介している「自称ガチ勢」のサイトのため、どれほどChromeのパスワード管理が優秀なのかも、客観的に述べることが可能だ。

だが「使いにくい(管理しにくい)」ため、結局は以下のような専用のソフトを勧める。

ブックマークで自動入力
ログインデモ
スポンサーリンク

自動入力がスムーズ

URLを開くと、「拡張機能やソフトなし」で自動入力される。

ぷっぷ
ぷっぷ

自動入力というより、最初から入っている感じ。

ブラウザはソフトとしてカウントに入れないため、誰がどう見てもメリットであり、自動入力の究極の形ではないだろうか。

スポンサーリンク

パスワードを保存できるようにする

設定されているかだけ確認しておこう。以下の方法のどれかでパスワード設定項目に移動。

  • 「chrome://settings/passwords」とアドレスバーに入れてEnter(エンター:決定)
  • Chrome右上の「⋮」→「設定」→「パスワード」
  • Chrome右上の「アイコン」→「パスワード」
  • Googleアカウント(ログイン必須)
アイコンからパスワードへ移動

「パスワードを保存できるようにする」と「自動ログイン」のトグルをクリックし、右に移動させたらとりあえずは保存できるようになる。

パスワードを保存できるようにする

カーソルを合わせるとパスワード生成してくれる

ChromeとGoogleアカウントを同期しなければパスワード生成は発動しないため、先に同期しよう。別にこの生成機能を使わなくても、LastPassノートンの方で作成できるぞ。ちなみに、どちらもhttps暗号化通信となっている。
アイコンをクリックしてGoogleにログイン

パソコン版のみだが、パスワード入力欄にカーソルを合わせると、「提案されたパスワード」が自動作成される(15桁)。

場所により出現しないので、基本は右クリックの一番上にある「パスワードを生成」をクリック。

提案されたパスワードを押す
右クリックしてパスワードを生成

パスワード強度がギリギリ保たれる最低桁数が12桁、あきらかに強力なのが18桁以上という感覚のため、オススメされた15桁のパスワードはそのまま使って構わない。

Googleに提案されたパスワードが怖いなら、このパスワード管理機能を使う時点で間違えているため、本当にそのまま使おう!

既存のパスワード追加はサービスにログインするだけ

ただの追加でも同じだが、サービスにログインすると「パスワードを保存しますか?」と出る。

この表示が消えてしまった場合は、「アドレスバー右」の鍵マークをクリックすると再度出現させることができ、万が一消しても安心だ。

パスワードを保存、またはユーザー名編集

ユーザー名に別のものが入力されていた場合は、このタイミングで変更しておこう。あとで変更できないぞ!

ユーザー名・パスワード変更

なぜか後から編集できないので、

  1. 該当サービスで新しい情報を登録
  2. 該当サービスにログインして保存
  3. 過去のアカウント情報を消す

といった方法で変更することになる。

面倒なのがユーザー名・メールアドレス・パスワード変更時に入力欄が1つしかない場合だ。

仕様上「1つの画面にパスワード項目が1つしかなかった」場合、ユーザー名・メールアドレスの欄が空欄のパスワードが保存されてしまう。

となると、次のようにパスワードを登録してからユーザー名を追加していくしかない。

  1. 該当サービスのパスワード変更で新しいパスワードを登録
  2. ユーザー名・メールアドレス欄が空欄のパスワードが登録される
  3. パスワード変更したサービスにログインし、空欄にユーザー名を入力
  4. ユーザー名・メールアドレスが空欄のパスワードと旧パスワードを削除
パスワードを保存、またはユーザー名編集
このタイミングでユーザー名を追加しよう
スポンサーリンク

やってはいけないこと

Chromeの機能だけではなく、すべてのパスワード管理ソフトに言えることなので、覚えておいて損はないだろう。

主に「危険」と紹介されているのが、「パスワードを平文で閲覧できてしまう」という部分だ。

一応、以下の方法で開ける「パスワード設定」での閲覧は、Windows起動時のパスワードを入れないと閲覧できないようにはなっている。

  • 「chrome://settings/passwords」とアドレスバーに入れてEnter(エンター:決定)
  • Chrome右上の「⋮」→「設定」→「パスワード」
  • Chrome右上の「アイコン」→「パスワード」
  • Googleアカウントでのパスワード変更のみGoogleアカウントパスワードで閲覧可能
WindowsにPIN・パスワードを設定していないなら以下の表示はでない。その場合は簡単に閲覧できてしまうが、共有パソコンでなければ問題なし。
パスワードの閲覧はWindowsのパスワードが必要

設定からは確認できないため、十分安全性は高い。

ただ、やり方は教えないが「私でも5秒ごとに1つのパスワードを確認できる」ため、誰かと一緒に使う共有パソコンや、一時的に貸す行為などはやめておこう。

この部分をよく危険と言われているが、そもそも共有パソコンなのに「個人のパスワードを保存する行為がおかしい使い方」で、正確にはChromeが危険なのではなく、「パソコンの使い方を間違えている」だけ。

基本的に「マルウェア(ウイルス)を仕込んだUSBメモリをパソコンに挿すだけ」・「盗む」という作戦がまかり通る共有状態は、何をしても防げない。

フィッシング対策を求めない

フィッシング(偽サイト)対策をブラウザである程度してくれているが、すべては防げない。

パスワード管理ソフトは「その名の通りの役目」だけでやることは終わっており、それ以上はアンチウイルスソフト(セキュリティソフト)、セキュリティ意識向上の経験値を高めるべきだ。

パスワードは変更しない

変更する派と変更しない派が一定数存在するのだが、私はしない派だ。

変更するたびにフィッシング詐欺抽選が増えてしまうし、そもそも流出したかわからないのに変更とは、かなり一方的かつ適当な注意喚起である。

企業から流出したかどうかわからない段階のためだけに「期限付きで変更する」ルール自体がおかしい。

要するに、企業が報告するまでの間に定期的に変更しておけば運が良ければ助かりますと言いたいのだろうか? どのみち助かっていない期間が一瞬でも存在しているので、被害を回避すること自体が不可能。

ヘビーな方は100アカウント情報くらい平気で持っているので、非現実的なパスワード変更は無視推奨だ。

もしかしたら、ただの「パスワード使い回し」の人に向けたお手軽注意喚起なだけかもしれない。

といっても、「パスワード桁数が15桁では危険な時代」になった場合は変更推奨。

スポンサーリンク

エクスポート(書き出し)またはバックアップ

他のパスワード管理ソフトに移動したかったり、バックアップのためにエクスポートしたいなら、以下の記事を参考にしよう。

スポンサーリンク

Googleアカウントを過剰に守ろう

パスワードまで管理してしまった以上、2段階認証は必須だ。

別の言い方も述べておくが、「2段階認証を設定しないなら、Chromeでのパスワード管理は禁止」。

さらにはパスワード管理ソフトでいう、マスターパスワードのような役割をアカウントに持たせるために、強度を上げることを勧める。

コメント

  1. 匿名 より:

    Chromeは、Windows認証がなくなったときから、パスワード保存せずに使っています。
    気がついた切っ掛けは、WindowsのEdge強制のせいで、どうしても面倒で問題が少ないパスワードを1つだけ入れたところ、Windows認証が出てきたので、Edgeの元となったChromeを調べたら、いつの間にやらWindows認証が復活していたわけです。
    いろいろ調べましたが、今後もWindows認証を継続すると公言はされていません。
    セキュリティ対策としては、公式に対応を約束されていないなら、過去に発生したことは今後も発生する、という前提で対処するしかなさそうです。
    何年経っていようと、Googleのセキュリティポリシーが変わらない以上、仕方ないでしょう。

    • ぷっぷ より:

      試しに登録したらWindows認証でてきた(゚~゚o)
      やっと理解しました。

      ロックせず席を立つ癖がある人は多いだろうし(どちらかといえばこっちが普通?)、Googleとかすごい企業はコロコロ変えてベストを探しがちだけど、ここは早く統一してほしい(´ε`;)

  2. 匿名 より:

    Chromeでパスワード保存しなくなって久しいです。
    パスワードの表示にWindows認証が必要という話、今後も本当なんでしょうかね。
    http://upa-pc.blogspot.com/2015/04/chrome-show-password-not-windows-password.html

    • ぷっぷ より:

      Chromeにパスワード保存機能があるってことは、匿名さんは乗り換えたってことかな?( Ꙭ)
      匿名さんが教えてくれた記事、2015年の話なので、ちょっとなんとも言えないかも!

  3. ファイト より:

    僕は二段階認証で Chrome に携帯番号を入れて最初に SMS で 認証したが 他のスマートフォンで メールアドレス パスワードを入力し アカウントに 入ったら しかし 二段階認証の SMS は来なかった これでは何のための 二段階認証がよくわからない 教えてください。

    • ぷっぷ より:

      私の環境「二段階認証アプリ」では「このコンピュータからは次回から表示しない」とパソコン側とスマホ両方で出現したため、過去そのチェックをログインしたときにしていた場合その端末での二段階認証はスキップされます(信頼できるデバイスになる)。
      もしそうなっている場合は以下のページの方法をお試ししていただき、信頼しているデバイスの解除をおこなってください。
      参考信頼できるパソコンを追加または削除する – Android – Google アカウント ヘルプ

      信頼できるデバイスになんの履歴もなかった場合はSMS認証がそういう仕様なのかもしれないので、二段階認証アプリにしてみてください∩(・∀・∩
      これで私と同じ環境になるので、チェックを入れなければ毎回ワンタイムパスワードを入力することになります。

  4. ユーズレス より:

    あなたこそ、かなり危険なことおっしゃっている気がしますが…
    ゼロディー脆弱性というものをご存知でしょうか?
    基本的にパソコンなどのどんなソフトを利用していても必ず、安全面が保証されるというものはありません。
    なんのソフトであれ、脆弱性のないソフトは存在しないといってもいいかもしれません。
    それを、記事の冒頭で思いっきり、安全と言い他記事を批判なさるのもどうかと思います…

    例として、若干イメージは違いますが、最近、Googleの設定の一つとして「ロケーション履歴をオフにする」というものがあるのですが、例えユーザーが「ロケーション履歴」をオフ設定にしても、位置情報をGoogle側が勝手に集めているという話があります。

    本当に何をしているかわからないんです。
    過度に信用なさるのは少しあれかなと思います。

    • ぷっぷ より:

      むむ(゚~゚o) 誤解が発生しているようなので補足させてください。

      主に「危険」と紹介されているのが、「パスワードを平文で閲覧できてしまう」という部分だ。

      この記事でおかしいと言っているのは、他のサイトにある「パスワードを平文で閲覧できてしまうから危ないですよ」の部分です。
      危ないのは「感染状態で進む前提」になっているものか、「共有PCでの利用」であって、個人で使う分には問題なく安全に使えます。

      あと、安全のニュアンスが違うようなので補足。

      「安全」はこの業界で普通に使われている意味であって、「完璧・確実な安全」・「100%安全」という意味の安全ではありません(100%や確実とか使っちゃうと、確か駄目だった気がします。薬とか投資系とか?)。つまり、この記事で述べている安全は「危なくないこと」に近い意味であり、基本的には問題ないですよ・企業レベルの十分に安全ですよ系のニュアンスです。

      通常この使い方はよくあることなので、これからも訂正はしないと思います。追記:臨機応変ですることに!

      次にゼロデイですが、これはいつ起きるかわからない系であり、防ぐのも極めて難しいものです。
      どこから来るかわからず、ゼロデイのことを述べるのは逆に難しいため(起こるかどうかもわからない例を考えるのが辛い)、そのようなことをこの記事で書くと逆におかしくなります(書いてあるのもあります!)。

      例として、ユーズレスさんが述べている「ロケーション履歴」の件をこの記事で書き、位置情報を勝手に集めている話をするとどうなるでしょうか。
      それは同じGoogleのサービスですが、別の機能を持ってくるとややこしくなりますし、そもそも別機能なのでネガティブキャンペーンを考慮に入れなければならない → 結果わざと避けます。
      もちろん場合によって書くものもありますが、Googleは探せば拒否できる機能が多いので、まず間違いなく記事に書きません。
      参考「ロケーション履歴」をオフにしてもGoogleはボクらの位置データを集めている。しかも、止めるのはめちゃややこしい | ギズモード・ジャパン

      もちろんセキュリティ(ゼロデイ含む)には気をつけるべきですが、この記事は「Googleでパスワード管理は、みんなが言っているほど危険なものじゃないよ!安全だよ」ということを伝えるため、「これから使う」・「面倒で乗り換えしたくないけど安全度だけ知りたい」方に安心を届ける目的の記事です。

      でも、ユーズレスさんの安心と私の使い方の安心を客観的に見ると差があるのは100%確定しています。
      このようなフィードバックは歓迎なので、ユーズレスさんと同意見の方があと一人いた場合は、この記事で使用している「安全」を訂正する方向で進めます

      同意見の方は「ユーズレスさんと同意見」とコメント欄に書いてくれれば対応。匿名でもOK!

      ※2020年1月8日に同意見の方のコメントを締め切りました(思いっきり忘れてた……)。半年以上何もなかったため、訂正しない方向です。
      ※さらなる追記2020年2月8日:結局安全の表記は撤廃しました!
      ブラウジングのことですが、その部分に安全とか普通に公式が使っちゃってるので「安全」はOKで「100%安全」だと駄目という境界線で引き続き対応します(撤廃しましたが)。

  5. 匿名 より:

    titan Mがついたpixel3を使っています。
    グーグル謹製アプリのみで揃えているのですが、アプリを無効化した場合はそのアプリが更新できなくなると思います。これはセキュリティ的には大丈夫なのでしょうか?Android OSを更新すると、G suitsが毎回無効化されます。

    もうひとつグーグル2段階認証アプリですが、Chrome OSの端末などでもアプリを入れ、同時に認証しておけば、バックアップコードは不要と考えて良いのでしょうか。

    • ぷっぷ より:

      WindowsのTPMみたいなものがPixelに付いているなんて、将来真っ先に検討しよう(*´ω`*)(つまり初耳)
      OS更新によりG Suiteが無効化される原因はわかりませんが(パッと見バグ?というよりG Suiteアプリが見つからない……)、アプリは基本使わなければ削除推奨です。

      ただ、私はアプリに詳しいわけではないので別の例えで表現すると、当サイトで使用しているアプリを使わずに停止したままで放置した結果、脆弱性(弱点)が存在して狙われる恐れがあるという記事がちらほら存在するので、
      それをアプリに適用するなら「無効化=基本削除」を徹底するのが無難になります。
      結論が甘い答えでごめんなさい。
      そして、G Suiteを使わないという選択肢は「ない」と思います。多少は許されるはず!便利だし!

      G suitsが毎回無効化されます。

      あれ、でも毎回無効化されるんじゃ実質使えない気もする・・・それだと正常に使えるまで放置か削除しかないかも(´・ω・`)

      次に2段階認証アプリですが、複数端末(2つ以上)に入れるのはアリかつ実質バックアップコード不要で間違いない……と言いたいところですが、わかりにくい弱点があります。
      「家が燃えたケース」で全端末やられ、バックアップコードがない!だと詰む(゚~゚o)
      全消滅の可能性は同時所持(窃盗など)と火事なので、その2つを避けられるのであれば2端末アプリでOKですが、それが無理ならクラウドにバックアップコードは欲しい!
      クラウドっていってもクラウドストレージ(おそらくアカウント情報思い出せなくて詰む?)でもいいし、パスワード管理ソフトのクラウド型でもOKです。
      この場合Webからログインという限定で使えば、
      マスターパスワードだけを覚えて火事 → bitwardenにログイン → バックアップコード入手 といった使い方でアプリを使わないのでGoogle謹製アプリで揃える状況を守りつつ万能です。

      すごいこのサイト、想定しづらいところまでちゃんとフォローするの偉い。
      いいな~Googleで揃えるの(*´ω`*) ベンダーロックインは悪じゃないもんね~