security

主要ブラウザに保存させたパスワードの確認方法を比較してみる(Firefoxをメインブラウザにしない理由)

投稿日:2019年6月1日 更新日:

アクセスしたサイトのパスワードをブラウザに覚えてもらったけどなんて入れたっけ?

なんてこと結構あるんじゃないかと思います。

各種ブラウザとも覚えさせたパスワードは後から確認が出来るのでそれぞれの方法を確認します。

ブラウザにパスワードを記憶して貰う際、Firefoxのみ個別にマスターパスワードを設定する必要があり、留意と手間が有ります。

確認方法

Chrome

バージョン:74

メニューバー右上端の縦点三つアイコン(以降「設定アイコン」と呼称)をクリック→「設定」→「詳細設定」→「自動入力」→「パスワード」。

(またはGoogleにログインしているなら、設定アイコン左隣のGoogleアイコン→「パスワード」)

パスワードを見るには「目」のアイコンをクリック。OSパスワードを入力することで可視状態になります。

Android版Chromeも同様の挙動です。

Safari

バージョン:12.1

Safariメニュー→「環境設定…」→「パスワード」。

OSパスワード入力して以下の画面で行を選択するとパスワードが可視状態になります。

iPhone版Safariも同様の挙動です。

Edge

バージョン:17

メニューバー右上の「設定アイコン」→「設定」→「詳細設定を表示」→「パスワードの管理」→「保存されたパスワード」の一覧からサイトを選択します。

ここからはパスワードは可視状態に出来ません。
「資格情報マネージャー」を起動します。

「資格情報マネージャー」画面から、パスワードの右の「表示」をクリックしてOSパスワードを入力すると可視状態になります。

Firefox

バージョン: 66

メニューバー右上の「設定アイコン」→「オプション」→「プライバシーとセキュリティ」→「保存されているログイン情報」

ん?パスワード欄がありません。

「パスワードを表示する」をクリックしてみると「パスワードを表示しますか?」と聞かれます。「はい」をクリックすると・・・

・・・認証無しでパスワードが可視状態になります。

Firefoxで認証を付けるには「マスターパスワードを使用する」を有効にします。

大文字英字を含んだ英数字パスワードを入力します。

保存されているパスワードを確認する際の認証パスワードとして使われるようになります。

まとめ

主要ブラウザの内、Firefoxだけデフォルトで認証が掛かっておらず、OSにログインしていれば誰でもブラウザに保存されたパスワードを見れる状態です。

Firefoxはサーバ証明書もOSの証明書ストアを見ずに自前で持ちますし、他設定もOS非依存なポリシーで作られており、OSパスワードも使わないので別途設定が必要になります。

そこでマスターパスワードを設定する訳ですが、これを有効にするとようやくセキュリティが高まる半面、Firefox起動時にもパスワードを聞かれるという煩わしさが発生、モバイル版でもパスワードが必要なサイトで事あるごとにマスターパスワードの入力を促されます。

パスワードを自発的に確認したい時だけ入力すれば良いようにして欲しいところですが、そうするとパスワード保存時に鍵になるパスワードが無いので暗号化が出来ない、といった仕様なのかな、と諦めるしかない現状。

マスターパスワードを有効にしないと他人にPC貸すのも怖いし、有効にしたらしたで起動時にパスワードを入力する手間がある。

Firefoxをメインブラウザにするとこのトレードオフが地味にストレスになってしまってChromeとSafariをメインで使う要因になっています。

もうOSパスワード見ていいんじゃないですかねMozillaさん。と思ってます。

-security

執筆者:

関連記事

SNS他Webサービスの情報流出、セキュリティ事故に巻き込まれたかどうか調べる

FaceBookやCapital Oneなど、サービスに登録されたユーザ情報が漏洩する事件が日々取り沙汰されています。 「もしかしたら自分が登録した情報も漏れてるかもしれない」 そう思って気になったら …

ブラウザでRSA暗号化したデータをサーバで復号する(Angular + JSEncrypt、Spring MVC)【前編】

セキュリティ的にクリティカルなデータをクライアントブラウザで暗号化保存するようにしてみます。 通信経路はHTTPSで暗号化されていてもスマホに重要なデータが平文で残っていたら珠に傷です。 目次1 環境 …

mkcertとhttp-serverでHTTPS環境を作りAndroid(chrome)、iPhone(safari)から接続

簡単にパーフェクトなオレオレ証明書が作れるとgithub上で人気上昇中の「mkcert」。 GitHub  135 UsersFiloSottile/mkcerthttps://github …

H2 Databaseで生成したSHA256値をJavaで生成したSHA256値と比較してみる

ファイル、サーバ、メモリ、様々な動作形態がとれてプロトタイピングや、配布アプリの組み込みDBとして便利に使えるPure Javaデータベースの「H2」。 h2database.com  2 …

Javascript(暗号化JSライブラリ「Forge」)とp12ファイルで署名値を作成、Javaで検証する

前回、送信データの改ざんを検知する為、簡易的なセキュリティトークンであるPKCS#12形式のファイルを作成しました。 One IT Thing  9 Pockets開発用のPKCS#12ファ …

 

shingo.nakanishi
 

東京在勤、職歴2n年中年ITエンジニアです。まだ開発現場で頑張っています。

19歳(1996年)から書き始めたアウトプット用プライベートWeb日記数が5,000日を超え、残りの人生は発信をして行きたいと思い、令和元日からこのサイトを開始しました。勉強と試行錯誤をしながら、自分が経験したIT関連情報を投稿しています。

私と同じく、今後IT業界で生計を立てて行きたいと考えている方や、技術共有したいけど仲間が居なくて孤独、といった方と一緒に成長、知識共有して行けたら楽しいな、と思っています。