Malwarebytesは11月2日(米国時間)、「Should you allow your browser to remember your passwords?|Malwarebytes」において、ブラウザにパスワードを記憶させるべきか否かについて説明した。一般的に認証に用いるパスワードは強力で一意なものが推奨されており、比較的安全にこれを実現するためにパスワードマネージャが利用される。ブラウザにもパスワードマネージャと呼ばれるパスワードの管理機能があるが、Malwarebytesはこのブラウザのパスワードマネージャの是非について考察している。
Malwarebytesはブラウザのパスワードマネージャのメリットとデメリットとして、以下を挙げている。
- 暗号化 - ブラウザのパスワードマネージャを使用する場合、プライマリパスワードを設定しないとブラウザにアクセスできるユーザーは誰でもパスワードを閲覧できる。Malwarebytesは、一般論としてブラウザのプライマリパスワードはWindows認証より強固としている。一部のブラウザで長時間ログインを維持する設定を行った場合、攻撃者はブラウザからパスワードを窃取できる可能性がある
- 正規のサイトに類似したフィッシングサイト - パスワードの自動入力は行われないためユーザーは保護される
- 同期 - 複数のデバイス間でブラウザの設定を同期する場合、パスワードも同期される。これは潜在的なリスクを増加させる
- オフライン - ブラウザのパスワードマネージャではオフライン時にパスワード管理ができないことがある
- 業務用のデバイス - 企業の情報管理部にとって、誰が何のパスワードをブラウザに保存しているかを追跡するのは困難
- パスワードの窃取 - ブラウザのパスワードマネージャから資格情報を窃取するマルウェアが存在する
- データ侵害 - ユーザーの資格情報が悪用されていることが判明しても、ブラウザのパスワードマネージャは警告しない
- 強力なパスワード - 一部のブラウザは強力なパスワードを生成する機能がある
- サイドチャネル攻撃 - 攻撃者はブラウザの資格情報を自動入力する機能を悪用して、Webサイトの資格情報を収集することが可能。これは自動入力を無効にすることで対策できる
Malwarebytesは結論として、ブラウザのパスワードマネージャは使いやすさを提供するが、セキュリティを犠牲にしているとして推奨していない。ただし、自動入力を無効にし、重要な情報が保存されていない安全なWebサイトの資格情報に限れば問題ないとしている。また、パスワードマネージャを使うか否かにかかわらず、多要素認証(MFA: Multi-Factor Authentication)の使用を推奨している。パスワードはいつ、どこから漏洩するかわからないため、多要素認証による保護が重要とされる。
なお、近年ではパスワードを必要としない新しい認証方式としてパスキーを採用するサイトが増えている。Webサイトがパスキーをサポートしている場合は、パスキーの利用が望まれる。