パスワードを忘れた? アカウント作成
9752381 story
Chrome

Google、Chromeでパスワードを平文で確認できることに対し「アカウントにアクセスされた時点で負け」と主張 82

ストーリー by hylom
それだとプライベートブラウズ機能は要らないよね…… 部門より
あるAnonymous Coward 曰く、

先日、Google Chromeでは保存したパスワードを平文で簡単に確認できるという話題があったが、これに対しGoogleがコメントを述べた。これによると、Googleの主張はユーザーアカウントを他人が操作する時点でもう「負け」だという(ITmedia)。

他人が自分のユーザーアカウントを操作している時点で、マルウェアのインスト-ルや履歴の閲覧などが可能なのだから、平文パスワードでも問題無い、という主張のようだ。パスワードはストレージ上には暗号化されて保存されているため、ユーザーアカウントが他人に操作されない限り問題無いという認識だろう。また、パスワードを表示するための「マスターパスワード」的な仕組みの導入も検討されたそうだが、「ユーザーに誤った安心感を与えて危険な行動を助長したくない」との理由で却下されたそうだ。

とはいえ、何らかの問題でアカウントを他人に操作される場合に被害を押さえるためにもパスワードの保護は必要だと思うのだが……。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2013年08月09日 21時04分 (#2438193)

    といってるうちの会社とにた考え方ですね

  • 手順は以下の通り。

    (1)パスワードフォームに正規のパスワードが自動入力されているページを開く
    (2)フォームを右クリックし「要素を検証(N)」を選ぶ
    (3)画面下部にそのページのソースが表示される
    (4)該当フォームのソース「input type="password"」の「password」部分をダブルクリックして編集状態にし、「text」と打ち込んでEnter
    (5)パスワードフォームがただのテキストボックスに変更され、自動入力されたパスワードが平文で表示される

    一昨年くらいにこの方法を使って、とあるウェブサービスの自分のパスワードを救出した事があったので、
    「パスワードを平文で表示する」という機能自体はずっと前から存在していたかと。
  • 第三者が端末にログイン出来る=暗号化したストレージに第三者がアクセス出来る前提なら、総当りに耐えられる暗号でないと意味が無い。
    そして128bitの鍵を作るには少なくとも20文字くらいのパスワードが必要。ほとんどのユーザーが使う8文字くらいのパスワードでは生のまま保存してるのと大差はない。

    (パスワードの強さを議論せずに)マスターパスワードさえあれば端末へのアクセスを許してもいい、or 端末にアクセスされても暗号化してさえあればなんとかなる、なんて考える人が出てくるのが実際なんだから
    >「ユーザーに誤った安心感を与えて危険な行動を助長したくない」
    ってのの方が真っ当な意見だと思う。

    #プライベートブラウジングは終了時に情報を削除する機能なので、次回に復号しなきゃならないパスワードの保存方法とは関係ない

    • by Anonymous Coward on 2013年08月09日 21時54分 (#2438212)

      その「完璧じゃないと意味がない」論法はあまり説得力がないな。
      総当たりをしないとアクセスできないんだから、十分意味がある。

      たとえば数分間話しかけたりアクシデントを起こしたりして
      注意を奪うだけでいいとなれば、選択肢がずっと広がるからね。

      それに、

      >マスターパスワードさえあれば端末へのアクセスを許してもいい

      こんな駄目ユーザがいるから意味ない、っていう論法が成立するなら、
      意味のあるセキュリティ対策なんてなくなってしまう。

      「メモしておいたって見られなきゃ大丈夫だろ」って考える人が出てくるのが現実なんだから、
      パスワードはメモできる文字列であるという時点でアウト、危険な行動を助長する認証手段だ、
      こういう主張も可能になる。

      # まぁ実際、普通のパスワードはヤバいわけだが

      親コメント
      • 高頻度でPW入力を強制すると当然PWは弱くなるし、ログインされている以上生PWを盗むのと暗号化が施されたストレージを盗む時間や手間は変わらない。端末のハードウェアを短時間保護すればいいスクリーンロックとは違う
        完璧じゃないからダメなのではなくて、パスワード入力欄があるけど検証してませんってのと同じで、弱いパスワードとパスワード無しに差がないのに、ご利益がありそうな何かをさせる事がまずい

        #ポストイットは良くないけれど、ユーザーの居室に侵入しないでも突破できるかどうかで一応差はある。あとPWが危険な場合IC認証使うでしょ

        親コメント
        • by Anonymous Coward

          > ログインされている以上生PWを盗むのと暗号化が施されたストレージを盗む時間や手間は変わらない。
          目的のパスワードを知るには一瞬Chromeブラウザを操作すればOK。
          それとストレージを盗む手間が同じだっていうなら、
          まぁ味噌も糞も同じようなもんだから納得だわ。

      • by Anonymous Coward on 2013年08月10日 8時21分 (#2438403)

        > パスワードはメモできる文字列であるという時点でアウト
        つまりホワイトスペースでパスワードを登録できないサイトは脆弱性

        親コメント
      • by Anonymous Coward

        総当たりをしないとアクセスできないんだから、十分意味がある。

        意味があるかどうかではなくて、脆弱なプログラムをなんでGoogleが提供しなきゃならんのだって話だ

        #パスワードを見れるパスワードをかけてセキュリティアップ! と本気で考えるマヌケが沢山いて頭痛いわー

    • by Anonymous Coward

      ユーザーの設定したパスワードにランダムな文字列を付加して使い、復号化時は総当たりするようにしよう

  • by s02222 (20350) on 2013年08月09日 18時59分 (#2438104)
    ブラウザとかPCに覚えさせたパスワードというのは、結局のところ、ボタン1つで取り出せるような状態になっているんだから気をつけろ、と。
  • by Anonymous Coward on 2013年08月09日 20時03分 (#2438150)

    ゴミブラウザ

  • by Anonymous Coward on 2013年08月09日 19時06分 (#2438110)

    > マルウェアのインスト-ルや履歴の閲覧などが可能
    履歴の閲覧はともかく、マルウェアはPCにアクセスできても管理者権限がなければインストールできないと思うが?

  • by Anonymous Coward on 2013年08月09日 19時34分 (#2438136)

    「使用者の知識が低すぎて話になりません」
    と言われている気がして、凹んだ。
    とりあえず、パスワード全般を機械に覚えさせることをやめることにしたよ。

    • Re:耳が痛い (スコア:2, 興味深い)

      by Anonymous Coward on 2013年08月10日 1時50分 (#2438352)

      マジレスすると、パスワードマネージャーを使わずに、手帳に書いたり、記憶に頼ったりして管理すると、安易なパスワードを選びがちになるので、かえって危険になる、っていう研究結果があったりする。ある種の信念をもってそういう苦行を続けるなら、敢えて止めはしないけれど、一般的にいうと大体うまくいかないので、少なくともそのポリシーを他人に広めるのだけは止した方がいい。

      親コメント
      • by XERE (8618) on 2013年08月10日 5時50分 (#2438379) ホームページ

        頭のなかに語呂合わせとかで保存しておくのが最も安全だが、死後のことを考えれば誰かに頭のなかのことを教えておいてあげたくなるが、そこまで信頼に足る人物なんて、俺にはまだいないけど妻くらいだろうか?

        --
        一切これすなわち空(くう)かもしんなくてイエスキリストもきっと正しい。
        親コメント
  • by Anonymous Coward on 2013年08月09日 20時01分 (#2438147)

    俺にとっては、分かりやすい主張だな>Google

  • by Anonymous Coward on 2013年08月09日 20時10分 (#2438153)

    たぶんトピ主さんは分かってると思うんだけど、ハッシュ化して保存しろよ人がTwitterなどで登場してて、一般人巻き込むと大変だなあと思いました。

  • by Anonymous Coward on 2013年08月09日 20時26分 (#2438170)

    セキュリティ上の弱点とまではいかなくてもMSやAppleがChromeを排除する口実にはなりそうな

    • by Anonymous Coward

      そんなので弱味にぎれるなら各種プラットフォームでトップクラスにバグ報告出してるGoogle先生に頭なんて上がりませんよ?

      // Google経由のバグフィッス報告見る度に本気出せば世界征服位出来そうだなといつも思う

  • by Anonymous Coward on 2013年08月09日 21時45分 (#2438207)

    アカウントを不正使用されなくても、ぶっ壊されただけで大打撃

    • by Anonymous Coward

      もう、パスワードもクラウドにアップしちゃいな

      ってこと言い出しそう

  • by Anonymous Coward on 2013年08月09日 22時37分 (#2438237)

    ソーシャルハッキングの可能性を過小評価している見解だと思います。
    例えば自分のPCをちょっとだけ他人に貸すとか、一時的にトイレに立った隙にロックし忘れるとか、30秒程度の隙は起きうるわけで。
    その隙を利用して、PC所有者が過去に利用したサイトのパスワードを知ることができるのは危険としかいいようがない。

    例えば会社の誰かに対して、なにか理由をつけて「ちょっとPC貸してくれない」って頼んだら、かなりの可能性で借りられるんじゃないでしょうか。
    その人がChromeを使っていたら、いとも簡単にその人の(仕事中に私用で使ったサイトの)アカウントのパスワードを盗めますね。

    もしGoogleが強がりでなく本気で言っていて、この問題を修正しないのなら、今後はChromeは使うのためらうレベルのセキュリティ認識だと思います。
    とりあえず私は、自宅のPCはともかく、会社のPCでChromeを使うのはやめます。

    • しかし、Windows なら、exe 一発で、かなりのことができるんだから、パスワード盗む仕掛けを仕込むのは、ものの数秒。Mac も似たようなことはできるだろう。Chrome がどうあがこうが、敵にコンピューター触られたらおしまいだ。

      親コメント
    • by Anonymous Coward on 2013年08月09日 23時27分 (#2438272)

      だからその状態ではマルウェアのインストールが可能なので、すでに詰みなのだ、というのがGoogleの主張です。
      パスワードを盗むような人ならマルウェアのインストールだってするような人でしょう。
      マルウェアがインストールされたなら、ブラウザのアドインやキーロガー、バックドアなどでパスワードの収集や悪用が行われ得ます。
      それはkeychainがロックされていようが、暗記していようが変わりありません。

      親コメント
      • by renja (12958) on 2013年08月11日 8時46分 (#2438805) 日記

        マルウェアを利用するためには、ブラウザを見るだけのソーシャルハッキングよりも遙かに高度な知識が必要とされます。
        世のネットゲームやソーシャルゲームなどで他人のアカウントにアクセスして事件になった子供たちは、マルウェア使っている訳じゃなく、
        相手との会話等で直接・間接的にIDやパスワードを知って不正アクセスを行っていました。

        程度の差を無視して「危険性がある時点で詰みだから対策は必要ない」という理屈を展開するのであれば、
        ユーザーという最大の脆弱制が存在する時点で詰みなので、ノーガード戦法バンザイということになります。

        --

        ψアレゲな事を真面目にやることこそアレゲだと思う。
        親コメント
    • by Anonymous Coward on 2013年08月10日 5時50分 (#2438378)

      もうとっくにChromeアンインストールしました。Googleのアカウントは1つも持っていないし、Googleのサービスが全て無くなっても困らない程度に依存度を下げています。

      親コメント
    • by Anonymous Coward

      不安なら単にパスワードを保存しなければいいんじゃないか。

    • by Anonymous Coward

      大前提としてchromeのユーザ=googleサービスの利用者ってのがあるから
      ブラウザにアクセスできる時点でメールからクレジットカードに連携したgoogle walletによる
      ショッピングまでアクセスし放題なわけです。

      もしその認識があなたにないのでしたら、確かにあなたはChromeを使うべきでは
      ありませんね。

      多分こういうのはWindows8.1になってOS利用時には常時Microsoftにサインインするのが
      当たり前って時代になるともっと増えてくるだろうね。

      • by Anonymous Coward

        もう一つ前提を書き忘れた。
        Chromeって常時googleにサインインしてるのが基本。

typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...