たまたま見つけたのですが、「まだブラウザにパスワードを保存してるの?オートコンプリート機能の落とし穴」という記事について考察してみます。この記事は、今年の6月に書かれたものですね。ちなみに、私が企業の情報システム担当だった時代(約10〜15年前)には「ブラウザにパスワードを記憶させてはいけない」という指導をしていましたが、今は時代も変わってウェブサービスが多岐に及ぶことから「ブラウザにパスワードを記憶させることを推奨」しています。理由は後述します。
この記事の筆者は、パスワードを複雑にし使い回さないことを指摘しています。これ自体は、一般的に言われていることなので特に問題はありません。ただ、パスワードをブラウザに保存するのは危険であると言っています。その理由として、ブラウザの設定画面やOSの設定ファイルから漏洩する可能性があるからであると指摘しています。しかしながら、対案が示されていないので「どうすれば良い」のかは提示されていません。自分の頭で覚えろと言うことなのでしょうね。きっと。
私の考えを書きます。
結論から言うと「他人と共有していないパソコンならばパスワードはブラウザに記憶させるべき」です。
理由は、パスワードを自分の頭で記憶しようとすると、人間の能力に限界があることから推測可能な平易なものになりやすくなりがちです。実際、一部では「パスワードを本体と拡張子に分けて管理し、本体は共用するものの拡張子をサービスごとに変えれば良い」と言われていますが、それでは推測可能なパスワードという縛りから脱却できないのでアウトです。一見すると使い回しではないように見えますが、実質的には使い回しです。全く別々のパスワードを設定させれば、全てが推測可能な平易なものになってしまいます。実際、有名人のアカウント乗っ取り事件も推測可能なパスワードが原因でした。なので、自分の頭で記憶するには「推測不可能なパスワード」+「サービスごとに変える」は実質的に不可能であると考えています。
あと、この記事の筆者が指摘している「設定画面からの漏洩」について言えば、そもそも「設定画面に辿り着けないようにパソコンのセキュリティを上げるべき」であると考えます。それこそ、パソコンへのログインを複雑なパスワードで行うようにすべきです。その前提を無視して、やれ「設定画面から漏れる」だの言っても意味がありません。パソコン自体を乗っ取られた段階でセキュリティ的にアウトです。
最後に、私が宗旨変えをした理由を書いておきます。
まず、昔はウェブサービスがそれほど多くありませんでしたので、人間の記憶に頼っても十分複雑なパスワードを設定できました。だから、ブラウザに記憶させることなく自分の頭で記憶すべきであると考えていました。ですが、今は多くのウェブサービスが提供されており、多くの人が多くのサービスを利用する時代になっています。その為、既に自分の頭で記憶できる時代は終わったと考えています。ウェブサービスを利用するに当たって重要なポイントは最低限のラインとして「推測不可能なパスワード」+「サービスごとに変える」であると考えます。とすると、自分の頭で記憶するのは実質的に不可能であり、ブラウザに記憶させることで複雑さを担保すべきであると考えています。
時代と共に考え方を変えるべきです。頑なに過去のやり方に固執する必要はないのです。