パスワードの入力ルール・フォーマットについて思うこと・困ること

様々なウェブサービスなどを利用するにあたって、パスワードの強度・管理は極めて重要です。

当サイトのメインテーマであるお小遣いサイト界隈だと、パスワードが脆弱なせいで不正ログインを許してしまい勝手にポイント交換されてしまった等の被害がしばしばあるようです。

そのような被害を防ぐためには強度が高く他人に推測されづらいパスワードを作る必要があり、当サイトでも以前強固なパスワードの作り方について触れたことがあります。

しかし、いろいろなサイトを利用しているとパスワードの入力ルールやフォーマットに対して色々と物申したくなることが多いです。

パスワードに対して物申したいこと

記号を使えない

私は基本的にこちらの記事で解説しているような方法でパスワードを生成しており、自分の中で完全にパスワードの生成ルールが決まっています。

もちろん、強度を高めるために基本的には必ず記号も含めるようにしています。

しかし、新規会員登録をするときに記号を含めたパスワードを登録しようとすると、そのタイミングで「パスワードに利用できるのは英数字のみです。」といった感じで怒られることがあって困ります。

英数字のみしか受け付けないサイトがあることはこちらも把握しているので英数字のみのパスワードを生成方法も確立しており、こちらとしては記号が使えなくても十分に対応可能です。

ただ、登録しようとしたタイミングで初めて警告を出すのではなく、記号不可ならパスワード登録欄の横にでもその旨を記載しておいて欲しいと思います。

長さが決まっている

強度の面ではパスワードは長い方が良いに決まっていますので、私は多少長くなっても気にしません。

サイトによって長さは異なりますが、20文字以上のパスワードを設定しているサイトもあります(でも、生成ルールがあるので忘れることはありません)。

しかし、サイトによってはパスワードの長さが「8文字まで」・「8~12文字まで」といった感じで決められていることも少なくないです。

こちらとしては、長さが決まっているなら生成ルールに則って作ったパスワードを指定の長さでぶった切ってしまえば良いだけなので全く問題ないのですが、長さに指定があるにも関わらずパスワード入力欄には何も書いておらず、いざ登録しようとすると始めて長さ制限に引っかかるといったケースがたまにあるのが微妙な感じです。

記号を使えないパターンと同様、設定可能な長さにルールがあるならその旨を最初から書いておいて欲しいです。

記号の制限・使用必須

私はパスワードに含める記号の種類も大体決まっています。

しかし、サイトによって

  • 指定の記号しか利用できない
  • その記号を必ず含めなければならない

といったルールが定められていることがあり、生成ルールから外れたパスワードの使用を余儀なくされる場合があります。

パスワードを作るだけなら普段使用している記号を指定の記号に置き換えたものを当該サイトでのパスワードにするだけなので特に問題ありません。

しかし、ログインするときにはパスワードを思い出せなくなるので非常に困ります。

通常、ログイン画面にはパスワードのフォーマット(使える記号の種類など)は記載されていませんし、私は各サイトのパスワードのフォーマットなどいちいち覚えていませんので、いつもの生成ルールに則ってパスワードを生成してログインを試みますが、当然ログインには失敗します(指定の記号が含まれていないため)。

また、生成ルールにも複数のパターンあるのですが、それらを全て試してももちろんダメです。

こうなると何故ログイン不能なのかが分からなくなってしまうため、大抵パスワードの再発行をすることになり、ログイン後にパスワードを再設定する段階になって「指定の記号」のルールを思い出すという流れが定番です。

前2つと似たような感じですが、ログイン画面のパスワード入力欄の横にはパスワードのフォーマットを書いておいて欲しいです。

こんなことを言うと「パスワードのフォーマットが分かってしまうと第三者からの攻撃に弱くなるのでダメ。」と言われてしまうかもしれませんが、どうせ新規登録画面などではパスワードのフォーマットが記載されている(もしくは、登録しようとしたときにフォーマットから外れていると警告が表示される)ので全く問題ないでしょう。

パスワードが2個必要

脆弱なパスワードを利用するユーザーが多く不正ログインなどが後を絶たないことに対するサイト運営者側の苦肉の策なのだと思いますが、結構面倒なパターンです。

こちらは基本的に1つのパスワードでも強度を保てるようにパスワードを生成しているのに、余計なお世話でしかありません。

先述の通り生成ルールは複数あるので、例えば「パスワード1は生成ルール1で作ったもの」・「パスワード2は生成ルール2で作ったもの」と設定すれば良いだけに思えるかもしれません。

しかし、パスワード2個というルールに加えて

  • 英数字のみ・長さ指定がある・記号の指定があるといった更なる制限がある
  • パスワード入力欄にはその旨が記載されていない(普通は記載されていませんが・・・)

のコンボが加わると、正しいパスワードが全然分からなくなるので途端に凶悪さが増します。

結果、2つ目のパスワードが分からなくなり大抵はパスワードの再発行をするハメになることがほとんどです。

定期的に変更が必要

パスワードの定期的な変更が必要になるサイトも厄介です。

しかも、大抵は過去に一度使ったパスワードは使用不可というおまけ付きなので質が悪いです。

こちらも2~3回ならパスワードが変わっても対応可能ですが、生成ルールはせいぜい数種類しかないのでパスワードの変更にも限度があります。

そうすると、ログインの度にパスワードを再発行するか、もしくはすぐに覚えられる超簡単なパスワードを設定するしかなくなってしまうので困ります(後者は危険ですが)。

ニュース記事などでも「変更が必要になると、覚えられる範囲の変更しか行わないので却って脆弱になる」といった指摘がありますが、正にその通りだと思います。

実は危ない、パスワードの定期変更(日本経済新聞)

http://www.nikkei.com/article/DGXMZO05876050Z00C16A8000000/

秘密の質問に対して物申したいこと

パスワードではありませんが、パスワードと同じくらい重要なものとして扱われる「秘密の質問」にも言いたいことがあります。

「秘密の質問は忘れることがないもの(= 普遍なもの)を設定する」というのが私の中の認識なのですが、サイトによっては時間経過で変わる可能性がある設問しか用意されていないことがあって困ります。

例えば、

  • カラオケの十八番は?
  • 趣味は?
  • 好きなミュージシャンは?

といった感じです。

いずれも答えを登録するときと実際に答えを入力するときには自分の中の答えが変わっていることがあり得るものばかりなので、秘密の質問としては微妙じゃないかなと思っています。

特に気が変わりやすい人は「登録した時点では何だったんだろう?」と毎回悩むのではないでしょうか。

秘密の質問に相応しい設問としては、時間経過で答えが変わらないような、

  • 初めて買った車は?
  • 初めて買ったCDは?
  • 母親の旧姓は?

といった感じでしょうか。

でも、一番良いのは自分で自由に設問を設定できることかもしれません。

まとめ

お小遣いサイトを使っていると個人情報の登録(変更)・換金先の銀行口座の登録(変更)・ポイント交換などのタイミングで何かとパスワード(または秘密の質問)が必要になります。

接する機会が多く色々と思うことが増えてきたので今回記事にしてみた次第です。

個人的に特に困るのは

  1. 使用できる記号の制限と、使用の強制
  2. パスワード2個
  3. 定期変更必須、過去のものは使用不可

あたりでしょうか。

いずれもは運営者側のセキュリティ対策(をしていますという実績)のために仕方がない部分はあるのかもしれませんが、不便を押し付けることで逆に適当なパスワードで妥協してしまってセキュリティリスクが上がることは前述のニュース記事の通りですので、何とかして欲しいところです。

コメント