もしも、パスワードを覚えなくてもよくなったら?


ITコーディネータの吉田聖書よしだみふみです。

前回はパスワードの多言語化について書きましたが、
パスワードに日本語が使えたらもっと強度が上がるのに、と訴えたところで、
既にあるサービスが日本語のパスワードを使えなければどうにもなりません。
その場合はどのようにして自分のアカウントを守れば良いでしょうか。

前回の記事で、パスワードの強度は読みにくさよりも長さということをお伝えしました。

20年くらい前でしたら「パスワードは8文字まで」といった制約をよく見かけたのですが、
最近では50文字とか100文字くらいまで設定できるサービスも増えてきました。

100文字くらいあれば、日本語が使えないとしても
英語やローマ字などでのちょっとした文なら収まります。

意味のある文であれば長くても覚えやすくなります。
ただし、推測されにくく自分しか知らないような内容に限りますが。

それでも長ければタイプミスする確率も高くなりますし、
やっぱり忘れたらどうしようとか気になるものです。
それに、パスワードの「使いまわし」は特に危険ですから、
サービスごとに異なるパスワードを設定するのが基本です。

そういう背景もあって、弊社でも(個人ブランドでですが)
パスワードを管理する(=自分の代わりに記憶する)アプリを作ったりもしました。
(ちなみにこのアプリは日本語のパスワードにまだ対応していません…)

Quick Password Safe

locked_door

一方で、どうせならパスワードを管理しなくてもよくなったらいいなと思いませんか。
企業内で使うシステムではあまり見ませんが、
一般に公開されているWebサービスでは、大抵、
パスワードを自動で再発行する機能が備わっています。

一般的にはログイン画面などにある
「パスワードをお忘れの方」というリンクを辿ると
メールアドレスの入力欄があり、入力したメールアドレス宛に
パスワードを再設定する画面のURL、
あるいは暫定パスワードが送られてきます。

パスワード再設定用のURLをクリックした場合も、
暫定パスワードでログインした場合も、
正式なパスワードの再設定を促されます。
今はこのようにパスワードを再設定させるサービスが多いと思いますが、
これは考えようによっては利用者がパスワードを管理しない手法とも言えます。

パスワードを毎回設定する手順が煩わしいですが
覚える必要が無ければ充分に長いパスワードを設定しても支障ないはずですので
攻撃に対する強度が上がるのではないでしょうか。

更に、システム側では、この仕組みを応用して
もしURLにワンタイムパスワード(1回だけ有効なパスワード)を含め、
パスワードを設定しなくてもそのままログインさせるようにすれば、
(ワンタイムなのでログインしたらそのパスワードは無効とします。)
利用者にとってもっと簡単で安全なサービスとなるでしょう。


ここでお知らせです。

25~35歳くらいの現場リーダーを対象に、
「理解されやすい業務フロー」を作るワークショップを開催します。
業務フローは業務の見える化には欠かせない基礎的な図式で、
これが書ける・読めるようになると
現場の業務改善・業務改革に役立ちます。

是非若いうちに身に着けておきませんか。

詳細・お申込みはこちらのopnlab社のサイトにて。


Comments are closed.