遅ればせながら、コメントさせていただきます。
konno3 さんが書きました: 設定>セキュリティ にて、
マスターパスワードを設定しないとサイトのパスワードが丸見えになる問題に関して、何か進展はありますでしょうか。
ぼくは開発者でもなく、たいしたスキルもない一介のエンドユーザーに過ぎませんから、詳しい事情を知っているわけではありませんが......。
マスターパスワードではなく、Google Chrome(Webkit / Blink 系ブラウザ)などと同等の動作を Firefox にお望みなら、そういう動きは耳にしていません。
パスワードは認証システムで使うものという視点からは、本件に関係しそうな Mozilla の取り組みとして Mozilla Persona のようなアプローチがあるのは知っています。
・Persona とは
https://support.mozilla.org/ja/kb/what- ... es-it-work
konno3 さんが書きました: chromeなどの他のブラウザでは、保存されているパスワードを見ようとすると、
PC/Mac自体のログインパスワードが求められる仕組みになっています。
もうそろそろ、そういうような進展がFirefoxにあっても良さそうに思われるのですが、何かないでしょうか?
少し前のバージョンまでは、Google Chrome はボタン一押しで警告も出さずパスワードを表示していましたが、ごく最近のバージョンから konno3 さんがおっしゃるような動作になっているようですね。最初は、ユーザーの記憶に強く残っているシステムのログインパスワードを使うなんてうまく考えたなと感心したのですが、よく考えると手放しで賞賛できないように思えてきました。
例えば、質問者が気になさっている「こっそり入力をのぞき込む者」を警戒する視点からいえば、システムへのログイン以外で同じパスワードを入力する場面が増えるほど、誰かに見られる機会を増やすことになりますし、このブラウザのパスワード管理画面でパスワードを表示するときシステムのログインパスワードが使われることが(現状では)仕様として事前に分かっているわけです。
OS のログインパスワードを忘れた場合のリセット方法も FAQ として簡単にわかることですし、何より、パスワード管理でもっとも初歩的な禁忌とされる「パスワードの使い回し」を強制的にやっていることになりますから。
もちろん、Firefox と異なり登録パスワードごとに表示・非表示をコントロールしているところは安全面で優れていると思います。
同一セッション内では再度パスワード入力しなくても表示・非表示を切り替えられますから、システムのログインパスワードを入力する機会を無原則に増やしているわけではなさそうです。(この間は従来の Chrome の動作に戻るわけで、それを不安視するユーザーがおられるかもしれませんが...。)
個人的な感想としていえば、このシステムのログインパスワードを固定して使う方式は、Firefox には採用してほしくないと思います、ぼくには具体的なアイデアはありませんが、やるならもっと別の方法を期待したいです(そのひとつが Persona なんでしょうけど)。
konno3 さんが書きました: マスターパスワードを設定すると、パスワードを必要とするサイトにアクセスするたびに、
マスターパスワードの入力が求められ、自動入力されずに不便です。
しかも人が大勢いるところでは必ずといっていいほどこっそり入力をのぞき込む者が現れるので、NG。
心情的にはおっしゃることもわからなくはありませんが、Firefox のマスターパスワード機能が意図している本来の役割は次のようなものだと思います。
PC / Mac といった自分のデバイス(またはユーザーアカウント)を他者が勝手に操作できる事態が起こったとき、マスターパスワードのような機能がないと、ブックマークから認証が必要なサイトを開けば保存されているパスワードが自動入力され、その他者は簡単にログインできてしまいます。
Firefox のマスターパスワードは、共有マシンなどで起こりやすいこうしたケースへの防壁として想定されていて、パスワード管理画面での動作を含め登録された認証パスワードを復号化して使うとき全般を防御する機能です。サイトへのログインの際は「不便」かもしれませんが、この動作を忌避してしまってはマスターパスワード本来の趣旨を生かせないと思います。
窃視されるという問題でいえば、ユーザーが本人のデバイスで Firefox を使用しているとき「こっそり入力をのぞき込む者」が現れたとして、サイトの認証パスワードを知られてしまうと、別の環境から利用される危険が生じます。
一方、マスターパスワードはそれを設定した Firefox だけに有効です。仮に誰かに知られたとしても、その Firefox(ひいてはそれがインストールされているデバイス)を直接使えない限り、マスターパスワードを知ったからといって別の環境で不正利用できるわけではありません。 "だから知られてもかまわない" というつもりはありませんが、サイトの認証パスワードとは性格が異なることをきちんと区別して理解しておくほうが、どこに傾注すべきかをわきまえられる分、対策を考える上では有効かと思います。
(もっとも、マスターパスワードにシステムのログインパスワードなんかを "使い回し" ていたりすると、窃視されたときのリスクは大きくなりますが...。)
konno3 さんが書きました: 実用性の点からは、CSSで隠すのがベストで、うっかり目を離してから3分程度は防衛できそうですが、
わかりやすい方法でもあり、ユーザースタイルシートの扱いを知っている者にやられたら即アウト。
例示されているようなシチュエーションにおいて、相応のスキルと悪意を併せ持つ者であれば、そういう迂遠なやり方ではなくもっと簡潔な方法で素早く確実にパスワードを抜き取るはずです。(ユーザースタイルの扱いを詳しく知らなくても、Firefox をセーフモードで再起動すればすむ話ですし...。)
換言すれば、PC / Mac などのデバイスを自由にさわれる状況を許してしまえば、ブラウザのパスワード管理画面をパスワードで保護していようが、「パスワードが丸見え」であろうがなかろうが、パスワード情報(ブラウザに限らず)の窃取は比較的簡単にできてしまう、ということです。
例えば、パスワードが保管されているファイルをコピーする、その種のツールを使うなどの常套手段のほかに、マスターパスワードで防御されていない場合は認証サイトにログインしてパスワードを変更してしまう、といった力技も考えられます。こうした方法の実行に、パスワード管理画面の表示に保護があるかどうかなどは何も影響を与えません。
Firefox のデフォルトでは、マスターパスワードは無効になっていて、ユーザーが設定しないと機能しません。
その状態でも、環境(オプション)設定からパスワード管理画面を開いた時点では、パスワードは非表示になっているのが標準です。ユーザーが表示を望めば表示させられますが、表示ボタンを押すと警告ダイアログが出て、それに了承を与えたあとに「丸見え」状態になります。
このことは、「人が大勢いる」周辺事情があったり、「こっそり入力をのぞき込む者」がいそうな場面であっても、いまサイトの認証パスワードを表示すべきかどうかの再考を促す機会が、いちおうは提供されていることを示しています。
Google Chrome のようなパスワード保護があったり、マスターパスワードを設定している Firefox でも、周囲の状況におかまいなくユーザーが表示してしまえば、こういう場面での「パスワード管理画面の表示」におけるリスクはデフォルトの Firefox と大差ないでしょう。(むしろ、システムのログインパスワードを使う分だけ窃視されたときのリスクが増えるかもしれません。)
結局、「サイトのパスワードが丸見えになる」のが問題だというのは、"誰かに自分のデバイスを勝手にさわられる事態" が生じたとき、簡単にサイトの認証パスワードを知られてしまうことを懸念されているのだと思われます。(違う前提でご懸念があるのならごめんなさい。)
もちろん、ブラウザのパスワード管理画面がしっかり保護されているに越したことはありません。
しかしながら、"誰かに自分のデバイスを勝手にさわられる事態" に陥った時点で、上述したようにパスワード管理画面で「パスワードが丸見え」かどうかに関係なく、パスワードを窃取される脅威にさらされている、と考えるのが現実的でしょう。そういう前提から考えないと実効性のある対策を組み立てられないと思います。
もし、"ブラウザのパスワード管理画面を保護したから安心" と信じ込んで他の対策を軽視してしまったら、ユーザーが意識しない部分で大きな無防備状態を生み出してしまうことにもなりかねません。
全体像を把握したうえで他の対策は十分に練り上げて実装済み、最後に手つかずの部分としてブラウザのパスワード管理画面の表示を問題になさっているのなら、ぼくのコメントは既知のことばかりでしょうから、申し訳ありませんでした。
けれど、もしも見落としておられた部分があるのなら、何かしらの参考にしていただければと思います。
konno3 さんが書きました: アドオンもひと通りさらてみたけどいまひとつ。
ローカルでパスワード情報を保存・管理することを前提にしていえば、Firefox のパスワードを外部のパスワード管理ソフトに任せるような、アドオンを使った運用方法があるのは知っています。
当方は Windows 環境なのでその事例になりますが、PassIFox というアドオンを使って KeePass というパスワード管理ソフトと連携する方法なんかは試したことがあります。
連携の構築が多少面倒かもしれませんが、ブラウザのパスワード管理機能に依存しない別の方法があることは、ユーザーの選択肢が広がり、工夫しだいでユーザー独自の対策を作れることを意味していると思います。
ご存知かと思いますが、Mac OS X のキーチェーン機能を Firefox から利用する Keychain Services Integration というアドオンもあるようですよ。(当方、Windows ユーザーなので実際の使用感はわかりませんが...。)
じっくり探せば、Mac OS X 用に同様なパスワード管理ソフトとアドオンの組み合わせはあるかもしれませんね。
【余談 -- Firefox に改善してほしいこと】
個人的には、現行の Firefox にも改善してほしい部分はあります。
それは、Firefox のデフォルトでは、パスワード管理画面でパスワードを非表示にした状態でも、一覧表示されたひとつを選択して右クリックから [パスワードをコピー] を実行できてしまう点です。
Google Chrome(および系列ブラウザの一部)では、パスワードを非表示にしているときはコピーできません。ユーザーが意識的に表示した場合にコピー可能になります。
パスワード管理画面での登録パスワードの扱いとしては、非表示のときはどんな手段でもパスワード情報を表に出さないという姿勢で一貫している Google Chrome の動作のほうが、ぼくは納得できます。
(クリップボードにコピーされたデータの扱いは、また別の話ですが......。)
長くなって申し訳ありません。ご期待にそったリプライではないかもしれませんが、以上です。
技術的に不正確なこと、間違ったことを書いていたら、他のユーザーさんから補足や訂正のご意見をいただけるとありがたいです。
|