恐るべしChrome – Googleのブラウザのセキュリティがデフォルトで危険だった話。

Chromeを使っているのですが、便利な反面、セキュリティ的に甘いところもあります。今回、デフォルトのままの設定で使っていて、危険だなと思ったので変えました。

Chromeの同期機能は便利

Chromeの何が便利って、同期機能です。スマホでもパソコンでも、同期機能があるおかげで同じブックマークが使えます。

デフォルトでは、ブックマークだけでなく、パスワードや履歴、その他の情報もすべて同期をとる設定になっています。

これが大変危険です。なぜなら、パスワードも同期をとる設定になっているからです。パソコンでしか使わないようなパスワードでも、スマホでも見えるということになってしまいます。

パスワードの同期をとるのは危険

パスワードの同期をとるのは、一見便利なようですが、セキュリティ的にはとても危険です。なぜなら、スマホを落としたり盗まれたりしたとき、パスワードも盗まれてしまうからです。

スマホを落とさなければよいのですが、以前私は財布を落としたことがありますので、スマホもいつか落としてしまうのではないかと警戒しています。

ブックマークの共有は大変ありがたいのですが、パスワードは共有したくないのであれば、デフォルトの設定をやめて、「同期をカスタマイズする」にチェックし、個別に何の同期をとるか選べばよいと思います。

「いや、パスワードもスマホとPCで同期をとりたいんだ」という人は、パスフレーズを使用して暗号化する設定にした方がよいと思います。

パスフレーズを使用して暗号化する

パスフレーズを使用して暗号化するとどうなるかというと、

すべてのデバイスで同じブックマーク、パスワード、その他の設定を利用する

ここに書いてあることが正しいなら、

パスフレーズを使用すると、Google にデータを読み取られることなく、Google のクラウドを使用して Chrome データの保存と同期ができます。

とのことですので、Googleからはデータ(パスワード)を読み取られなくなります(なるはずです)。

また、次のような設定となります。

• 新しい場所で同期をオンにするたびにパスフレーズが必要になります。
• すでに同期をオンにしているデバイスでは新しいパスフレーズを入力する必要があります。
• フィードには、Chrome で閲覧したサイトに基づく候補が表示されなくなります。
• passwords.google.com で保存パスワードを表示したり、Smart Lock for Passwords を使用したりすることはできなくなります。
• すべての履歴がすべてのデバイスで同期されなくなります。Chrome のアドレスバーに入力したウェブアドレスのみが同期されます。

私の場合、パスワードマネージャーを立ち上げると、300件くらいサイトとIDとパスワードの一覧がずらっと出てきたのですが、パスフレーズを使用して暗号化すると、下図のような表示に切り替わります。

よくパスワードを忘れるのでパスワードマネージャーに頼りっぱなしの人にはこの設定は向きません。しかし、そもそもパスワードとは、人から見えるところに記録しておくものではありません。私はパスワードの同期をとっていますが、パスフレーズを使用して暗号化し、Googleからも見えないようにしています。

情報強者に聞く、Chromeの設定について

私の知る中でわりと情報セキュリティに強い方に、Chromeの設定を見せてもらいました。

意外なことに、同期の設定はデフォルトのままでした。

しかし、同期しているパスワードは、7個のみ。私の300個とえらい差だな！と驚きました。

理由を聞いたら、「パスワードは基本保存しない」とのこと。

ログインする都度、手間でも入力しているとのこと。

「めんどい？でも十代からずっとそうやってきたから・・・」という返事でした。

なるほど・・・。常にログイン時にパスワードを入力していれば、Chromeの初期設定ではグダグダなセキュリティも問題にならない訳です。

要は、使い方の問題というお話でした。