Windows TIPS
[System Environment]
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

オートコンプリートの「パスワード保存」ダイアログを理解する

デジタルアドバンテージ
2002/03/19
2002/05/30 更新
対象ソフトウェア
Internet Explorer 5.0
Internet Explorer 5.5
Internet Explorer 6.0
IEのオートコンプリート機能を使えば、ユーザー名とパスワードを履歴に保存しておき、次回以降はこれらのデータを自動的に入力させることが可能である。
使い方によっては危険な機能なので、パスワード保存時には注意を促すダイアログが表示されるのだが、このダイアログの意味が分かりにくい。
ダイアログの意味を理解するには、IEのオートコンプリート設定を理解する必要がある。


解説

 Ver.5.0以降のIE(Internet Explorer)では、Webページ上のフォームに入力されたデータを履歴として記録しておき、次回以降の入力では、履歴から入力候補を選択可能にするという「オートコンプリート」の機能が追加された。これにより、例えばユーザー名やパスワードを入力する必要があるサービスでも、ユーザー名の最初の文字を入力するだけで、完全なユーザー名の入力候補が表示されるようになる。またこの際には、パスワードも履歴として記録しておくことが可能で、パスワードの情報が履歴として記録されているときには、Webページの入力フォームにユーザー名を入力した時点で、対応するパスワード文字列がパスワード欄に自動的に挿入される。

 つまりこの機能を使えば、ユーザー名やパスワードをいちいち覚えておかなくても、IEの履歴まかせにできるというわけだ。従来は、サイトごとにユーザー名とパスワードをメモしておき、認証を受けるたびにそれらを探す必要があった(セキュリティ的にいえば、ユーザー名やパスワードの情報を紙にメモするのは避けるべき行為である。しかし現実には、サイトごとにユーザー名やパスワードとして使える文字列の規則が異なっており、とても記憶などできない)。

 しかし逆にいえば、ユーザー名/パスワード履歴を記録したコンピュータを悪意ある第三者に操作されると、認証機能が事実上無効化されてしまうということでもある。ローカル・コンピュータを直接操作されるという危険もさることながら、Windows XP Professionalから標準サポートが追加されたリモート・デスクトップが使える環境では、遠隔地からコンピュータを操作できてしまうので注意が必要である(リモート・デスクトップの詳細は「Windows XPの正体:リモート デスクトップで遠隔操作する」を参照)。特に、オンライン・バンキングやオンライン・ショッピングなど、お金にまつわるサイトの認証情報については注意しなければならない。こうした、万一の場合に大きな被害を受ける危険がある情報については、面倒でもIEのオートコンプリートに頼らず、毎回ユーザー名/パスワードを入力すべきだろう。

 以下、サイトの重要度に応じて、オートコンプリートの機能を有効化、無効化する方法について述べるが、すでにユーザー名/パスワードが履歴に保存されているときにはこの方法は使えない。このような場合は、すでに履歴に記録されたオートコンプリート用のデータを削除する。これについては別稿「Windows TIPS:IEのオートコンプリート履歴を削除する」を参照されたい。

 履歴に存在しないユーザー名/パスワードが入力され、それらを新たに履歴に保存するとき、IEはその直前に以下のようなダイアログを表示する。

パスワードのオートコンプリート用データの保存時に表示される[オートコンプリート]ダイアログ
IEの設定でパスワード・データのオートコンプリートを有効にしている場合で、データを初めて履歴として保存するときには、このようなダイアログが表示され、ユーザーに注意を促すようになっている。このダイアログに対する応答では、いくつかの選択肢があるが、残念ながら何をするとどのようなことが起こるのか分かりにくい。
  Webページに配置されたユーザー名/パスワード入力用のフォーム(画面は@ITの会議室のログオン用フォーム)。ここにユーザー名とパスワードを入力してWebサーバに送信しようとすると、のダイアログが表示される。
  オートコンプリート処理を確認するダイアログ。このダイアログに用意されたコントロールを使い分けることで、データを履歴として保存しないなどを選択できるが、メッセージだけでは操作方法が分かりにくい。

 画面から分かるとおり、このダイアログでは、これからパスワードを保存しようとしていることをユーザーに通知すると同時に、保存するか、保存しないかを選択するチャンスをユーザーに与えている。しかし、[これ以上パスワードを記憶させない]というチェック・ボックスもあり、何を操作すると内部で何が起こるのか、直感的には分かりにくい。

オートコンプリートにまつわるIEオプション

 これを理解するには、前出の[オートコンプリート]ダイアログと、IEのオートコンプリート設定用ダイアログの関係を知る必要がある。

IEの[オートコンプリートの設定]ダイアログ
IEの[ツール]−[インターネット オプション]メニューから表示される[インターネット オプションダイアログ]の[コンテンツ]タブにある[オートコンプリート]ボタンをクリックするとこのダイアログが表示される。ここでは、オートコンプリートに関する設定を行える。
  Webページに配置されたユーザー名/パスワード入力フォームに入力されたデータを履歴に保存し、これらのデータに関するオートコンプリート機能を有効にする場合にはこれをオンにする。
  パスワードのオートコンプリートも有効にするには、これも併せてオンにする。

 [オートコンプリート]ダイアログの操作を理解するには、このダイアログでの設定について理解する必要がある。

 まず、の[フォームのユーザー名およびパスワード]チェック・ボックスだが、ユーザー名/パスワードのオートコンプリートを有効にして、入力されたユーザー名/パスワードを履歴データとして保存するには、このチェック・ボックスをオンにしなければならない。逆にいえば、これをオフにすれば、ユーザー名/パスワードのデータはいずれのWebページに対しても保存されず、認証が必要なサービスを使うたびにデータを入力することになる。安全性を考えれば、このチェック・ボックスはオフにすることが望ましいが、その代わりにユーザー名/パスワードのオートコンプリートは一切無効になってしまう。

 分かりにくいのは、の[パスワードを保存する確認をする]というチェック・ボックスである。日本語としても読みにくいこのメッセージは、英語版では「Prompt me to save passwords」であり、もう少し分かりやすくいえば「確認したうえでパスワードを保存する」となるだろうか。

 現状の「パスワードを保存する確認をする」だと、いずれにせよユーザー名/パスワードは保存されるのだが、保存時にそれを知らせるメッセージを表示するかどうか、と読み取れるだろう。しかし実際には、この[パスワードを保存する確認をする]をオフにすると、パスワードは保存されなくなる。つまり機能面からこのチェック・ボックスに名前を付けるなら、単純に「パスワードを保存する」とすれば分かりやすい。2つのチェック・ボックスの設定状態と、その効果をまとめると次のようになる。表のは、それぞれ前出の設定ダイアログの[フォームのユーザー名およびパスワード]チェック・ボックス、[パスワードを保存する確認をする]チェック・ボックスの設定内容を表したものだ。

効果
オフ ユーザー名/パスワードともにオートコンプリート履歴に保存しない。をオフにすると、自動的には選択不能になる
オン オフ ユーザー名だけがオートコンプリート履歴に保存される。履歴保存時もメッセージ・ダイアログは表示されない。次回以降、ユーザー名の入力フォームではオートコンプリートが働くが、パスワードは毎回入力する必要がある
オン オン ユーザー名およびパスワードの双方がオートコンプリート履歴に保存される。履歴に初めてデータを保存するときには、注意を促すメッセージ・ダイアログ([オートコンプリート]ダイアログ)が表示される。次回以降は、入力フォームにユーザー名を入力すると、対応するパスワード・データが自動的に挿入されるようになる

 要するに、[パスワードを保存する確認をする]は、保存時に注意を促すメッセージを表示するかどうかを切り替えるのではなく、実質的にはパスワードを保存するかどうかを切り替えるためのものである。パスワードを保存するときには、必ずメッセージが表示される。メッセージを表示せずに、パスワードを保存する方法はない。

 前述したとおり、最も安全性が高いのは、をオフにして、ユーザー名/パスワードのオートコンプリート機能自体を無効化する方法だ。次に安全なのは、はオンにするが、はオフにし、ユーザー名に関してだけオートコンプリートを使う方法である。ただしこの方法では、すべてのサイトについて、パスワードをメモしておき、認証を受けるたびにそれらをキー入力しなければならない。

 やはり現実的には、およびをオンにしてユーザー名/パスワードのオートコンプリートを有効にしておき、利用するサイトによってオートコンプリートを有効にするか、無効にするかを切り替える方法だろう。これには、履歴保存時に表示される[オートコンプリート]ダイアログに適切に応答しなければならない。

[オートコンプリート]ダイアログとIEオプションとの関係

 それではもう一度、[オートコンプリート]ダイアログに戻ろう。前述したとおり、IEの[オートコンプリート設定]で[フォームのユーザー名およびパスワード]および[パスワードを保存する確認をする]チェック・ボックスが双方ともオンで、未記録のユーザー名/パスワードが入力されると、このダイアログが表示される。

[オートコンプリート]ダイアログ
ここでの操作により、いま入力されたパスワードを履歴に記録するかどうか、以後のパスワード保存を禁止するかどうかを選択できる。
  これをオンにすると、IEの[オートコンプリート]設定ダイアログの[パスワードを保存する確認をする]チェック・ボックスがオフにされる。すなわち、これ以後、別のWebページでパスワードが入力されても、メッセージも表示しなければ、オートコンプリート履歴への保存も行わない。
  いま入力したパスワードをパスワード履歴に保存する。
  いま入力したパスワードをパスワード履歴に保存しない。デフォルト・ボタンはこちら。

 一見するとややこしいのだが、要は[これ以上パスワードを記憶させない]チェック・ボックスは、いま入力したパスワードの保存/非保存とはまったく無関係に、IEの[オートコンプリート]設定ダイアログの[パスワードを保存する確認をする]チェック・ボックスをオフにするためのチェック・ボックスなのである。従ってこれをオンにして以下の[はい]または[いいえ]をクリックすると、以後は、別のWebページでユーザー名/パスワードを入力しても、パスワードはオートコンプリート履歴に保存されなくなる(ユーザー名の方は履歴に保存される)。

 そして[はい]または[いいえ]ボタンが、純粋にいま入力したパスワードの処理方法を指示するためのボタンである。[はい]をクリックすればパスワードは履歴に保存され、[いいえ]なら保存されない。一度[いいえ]をクリックすれば、次回以降はこの[オートコンプリート]ダイアログは表示されず、毎回パスワードを入力するようになる。従ってオンライン・バンキングやオンライン・ショッピングなど、パスワードを履歴に保存したくない場合は[いいえ]を、パスワードを履歴に保存してオートコンプリートを有効にするなら[はい]をクリックすればよい。End of Article

関連記事(Windows Server Insider)
  Windows XPの正体:リモート デスクトップで遠隔操作する
  Windows TIPS:IEのオートコンプリート履歴を削除する
     
更新履歴
【2002/05/30】[オートコンプリートの設定]ダイアログのメッセージの日本語訳について言及した部分で、「英語版では『Prompt me to save passwords』であり、もう少し分かりやすくいえば『パスワードを保存するときには確認メッセージを表示する』となるだろうか」としていましたが、正確には「確認をしたうえでパスワードを保存する」でした。お詫びして訂正させていただきます。
 
「Windows TIPS」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間