オートコンプリート機能のパスワード管理

MENU

オートコンプリート

ウェブブラウザを使っていると毎回、ユーザIDやパスワードを入力するのが面倒です。そのため、IDやパスワードを入力する必要があるサイトではウェブブラウザで「パスワードを記憶させる」方が便利です。

 

通常は、ウェブブラウザ側で「パスワードを記憶しますか?」と確認が画面が表示されるので、「はい」をクリックし、ユーザIDやパスワードを保存しています。

 

ウェブブラウザはハードディスクにその値を書き込み、次回同じサイトを閲覧した時に管理情報を読み出して反映しています。

 

これが、「オートコンプリート」機能です。
ウェブブラウザの1つである、インターネットエクスプローラー(Internet Explorer)の場合、メニューバーの「ツール」→「インターネットオプション」の「コンテンツ」内に「オートコンプリート」の設定があります。
ファイアーフォックスも似たような場所に管理があります。「ツール」→「オプション」→「セキュリティ」に「サイトのパスワードを保存する」箇所があります。

 

これらの「オートコンプリート」機能はインターネット上のサーバーに記録するものではなく、パソコン側のウェブブラウザに情報が保存されています。

 

オートコンプリート設定箇所

 

ウェブサイトのIDとパスワードの情報は確認可能なのか

 

インターネットエクスプローラー(Internet Explorer)に保存されている各種サイトのユーザIDとパスワードの情報は確認可能です。
一度入力したIDとパスワードはブラウザ内に保存され、次回からは自動的ログイン可能。

 

逆に言えば、ウェブブラウザに保存されているパスワードは簡単に確認できるので危険です。

 

悪用を厳禁ですが、自分のパソコンであれば知っておくと便利です。
インターネットエクスプローラー(Internet Explorer)で保存されているパスワードを確認する方法は下記の通りです。

 

 

ブラウザのオートコンプリート機能は悪用厳禁

レジストリ

IE 7〜11の場合、オートコンプリート機能で保存したIDやパスワードは、「Storage2 Key」と呼ばれるレジストリデータベースに記録されている
レジストリキーの場所は「HKEY_CURRENT_USER¥Software¥Microsoft¥Internet Explorer¥IntelliForms¥Storage2」。

 

但し、レジストリに不正な値を書き込んでしまうとシステムに重大な障害が発生する可能性があります。
そのためレジストリエディタの操作は慎重に行うとともに、個人のリスクで設定を行って下さい。

 

スタートボタンに「プログラムとファイルの検索」または、「アクセサリ」にある「ファイル名を指定して実行」で
「regedit」を入力すると、「レジストリエディター」が起動します。

 

 

ただし暗号化されているため、単にレジストリキーを開いただけでは、IDやパスワードを確認できません。

 

ユーザIDとパスワードを確認できるツールはいくつもありますが、本記事では「NirSoft」が提供しているフリーソフトウェア「IE PassView」を紹介します。

 

 

このIE PassViewを実行すると、以下の画面が現れる。「Entry Name」が各サイトのURL、「User Name」がユーザー名やID、「Password」がパスワードである。
ユーザIDとパスワードは普通に表示されるので、「Entry Name」で確認したいサイト名が表示されていれば、忘れてしまったユーザIDとパスワードを確認できます。

 

 

IE PassViewの実行画面

IE PassViewの実行画面

IE PassViewを実行すると、レジストリキーの「HKEY_CURRENT_USER¥Software¥Microsoft¥Internet Explorer¥IntelliForms¥Storage2」に保存された内容を見ることができる。

 

  1. パスワードを保存しているサイトのURL
  2. 保存しているユーザー名やID
  3. 保存しているパスワード

 

 

このように「IE PassView」を使うと簡単にユーザー名やID、パスワードが確認できる。自分のパソコンであれば問題ありませんが、逆に言えば、「IE PassView」などを使えば、簡単にユーザー名やID、パスワードは盗まれる可能性があるということだ。
オンラインバンキングなどのユーザー名やID、パスワードは「オートコンプリート」機能で保存しないようにするなど、運用には気を付ける必要があるだろう。

 

またパソコンの処分をするときや売却するときは、利便性とセキュリティは反比例の関係ある、利便性を重視すると、セキュリティの面では不安が残る。

 

パスワードの管理について

 

最近のウェブサイト運営者側の多くはパスワードを「ハッシュ値」という変換された形式で保管しています。

 

 

このハッシュ値とは、元のログインパスワードを「ハッシュ関数」というしくみを用いて変換(ハッシュ化)された文字列のことです。
ハッシュ値は、元のデータへは復元できない、不可逆性という特徴があります。

 

つまりハッシュ値はパスワードを変換して利用しているので運営者側はパスワードそのものを管理していないという訳です。

 

登録時に設定したパスワードは、ハッシュ値で保管されています。
ログインの際は、入力されたパスワードをハッシュ化し、保管されているハッシュ値のパスワードと一致するかを確認します。
同じハッシュ値であれば、ウェブサイトにログイン可能になります。

 

このしくみにより、運営者側のサイトでも、利用者のパスワードを知ることはできません。
逆にいえば利用者が設定したパスワードの文字列を運営者側で保持しないことにより、安全なパスワードの管理を行っていく方向に進んでいます。

 


データピット

データピットドットコムの特徴

ハードディスクの物理障害でも格安なデータ復旧サービス会社。17年以上の実績があり人気です。

評価 評価5
備考 RAID5やRAID6といったNASサーバーにも対応。格安データ復旧業者の代表格。机の上から外付けHDDを落としてしまったといった重度障害にも低価格で対応しているため、個人、中小企業、大企業でも評判

オントラック

オントラックの特徴

信頼性では日本有数なデータ復旧サービス会社。ハードディスク以外の各種メディアにも対応。

評価 評価4.5
備考 法人申し込みと個人申し込みでは料金体系が異なる。現在、法人だけではなく個人ユーザーにも利用しやすくなっている。

アドバンスデザイン

アドバンスデザインの特徴

調査報告内容の評価が高いデータ復旧サービス会社。通常、調査報告内容は詳細には顧客には伝えられません。ですが、このアドバンスデザインは調査内容が的確であり信頼性も高いことが特徴です。

評価 評価4.5
備考 近年、とくにバッファロー製のテラステーションやリンクステーションなどのNASやRAIDサーバー対応にチカラを入れている

パスワードが丸見え? 危険なブラウザのオートコンプリート機能関連記事

BIOSとは
データ復旧ソフトおすすめランキング
現在、有料なデータ復旧ソフトを販売している国内メーカーでは「ジャングル」と「AOSテクノロジーズ」の2社が人気です。この2社はそれぞれ、データ復元ソフトとして完全データ復元シリーズやファイナルデータシリーズを発売しています。ですが、それ以外にも無料のデータ復旧ソフトや高機能なものが幾つかあります。