ITコーディネータの吉田聖書です。
前回はパスワードの多言語化について書きましたが、
パスワードに日本語が使えたらもっと強度が上がるのに、と訴えたところで、
既にあるサービスが日本語のパスワードを使えなければどうにもなりません。
その場合はどのようにして自分のアカウントを守れば良いでしょうか。
前回の記事で、パスワードの強度は読みにくさよりも長さということをお伝えしました。
20年くらい前でしたら「パスワードは8文字まで」といった制約をよく見かけたのですが、
最近では50文字とか100文字くらいまで設定できるサービスも増えてきました。
100文字くらいあれば、日本語が使えないとしても
英語やローマ字などでのちょっとした文なら収まります。
意味のある文であれば長くても覚えやすくなります。
ただし、推測されにくく自分しか知らないような内容に限りますが。
それでも長ければタイプミスする確率も高くなりますし、
やっぱり忘れたらどうしようとか気になるものです。
それに、パスワードの「使いまわし」は特に危険ですから、
サービスごとに異なるパスワードを設定するのが基本です。
そういう背景もあって、弊社でも(個人ブランドでですが)
パスワードを管理する(=自分の代わりに記憶する)アプリを作ったりもしました。
(ちなみにこのアプリは日本語のパスワードにまだ対応していません…)
Quick Password Safe
一方で、どうせならパスワードを管理しなくてもよくなったらいいなと思いませんか。
企業内で使うシステムではあまり見ませんが、
一般に公開されているWebサービスでは、大抵、
パスワードを自動で再発行する機能が備わっています。
一般的にはログイン画面などにある
「パスワードをお忘れの方」というリンクを辿ると
メールアドレスの入力欄があり、入力したメールアドレス宛に
パスワードを再設定する画面のURL、
あるいは暫定パスワードが送られてきます。
パスワード再設定用のURLをクリックした場合も、
暫定パスワードでログインした場合も、
正式なパスワードの再設定を促されます。
今はこのようにパスワードを再設定させるサービスが多いと思いますが、
これは考えようによっては利用者がパスワードを管理しない手法とも言えます。
パスワードを毎回設定する手順が煩わしいですが
覚える必要が無ければ充分に長いパスワードを設定しても支障ないはずですので
攻撃に対する強度が上がるのではないでしょうか。
更に、システム側では、この仕組みを応用して
もしURLにワンタイムパスワード(1回だけ有効なパスワード)を含め、
パスワードを設定しなくてもそのままログインさせるようにすれば、
(ワンタイムなのでログインしたらそのパスワードは無効とします。)
利用者にとってもっと簡単で安全なサービスとなるでしょう。
関連記事
プロマネの右腕
プロジェクトマネジメントの支援を行っています。
新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html
YouTubeにて動画配信中!
プロジェクトマネジメントのノウハウをYouTubeで配信しています。
ブログと併せてご活用ください。