【複雑なほど貧弱！？】パスワードに関する新事実とその改善法５選

複雑なパスワードが必要でない理由

パスワードの安全性が異なる文字数によるものだとしたら、私たちはどうやって自分のiPhoneを６桁のパスコードによって安全に守ることができるのでしょうか？

組み合わせは1,000,000通りあります。Appleは少なくとも理論的にはかなり簡単なものにしました。「セキュリティ・エンクレイヴ・プロセッサー」は間違ったパスコードで入ろうとした時の回数を制限しています。さらに、もう１つのトリックがあります：入力する間、ハードウェアの遅れが生じるよう設定したのです。

 

 

ウェブサーバーにおいても同様のセキュリティ対策が実施されています。

パスワードを入力できる回数が制限されているのです。もちろん、そのことによっていくつかの問題は発生しますが、一般的にとても安全であると言えます。もしもあまりに何度もパスワードを入力しようとするならば、サーバーはそのアカウントをロックし、ユーザーに通知します。ユーザーは電子メールを介してロックを解除することができます。

 

 

 

 

数学で説明します!

長いパスワードは王様のようです。もしもあなたが26、52、62あるいは異なる数字を用意している時には、パスワードの長さはほとんど重要ではありません。安全性は長さに伴い指数的に増加するからです。例が必要ですか？

 

あなたのパスワードが小文字だけで構成されていれば、そこには26通りの可能な組み合わせがあります。もしも小文字と大文字を要求するならば、可能な組み合わせは52通りあります。２つの小文字を必要とするならば可能な組み合わせは676通りあります。このように、長さは重要なのです。

 

 

可能な組み合わせの数は安全性に等しいです。これを計算するためには以下のように書きます：

安全なパスワードの公式はとても簡単です。

緑の線は長さに伴い変化する公式に関連しています。一方、オレンジの線は異なる文字数の変化による公式と関連したものです。

 

 

このグラフを見ると、y軸に安全性があります。パスワードの長さを変えて使用するならば安全性は素早く上昇します。他方で、異なる文字の数を変化させるのであれば、安全性の上昇は緩やかになります。派生物がこれだけだからです：

シンプルなことです。

 

 

 

パスワードの安全性がデザイナーの仕事である理由

複雑なパスワードは覚えにくく作るのが大変です。これはユーザーに直面させる必要のない障害です。では、私たちがすべきこととは？ユーザーはアカウントの作成を決して好まないでしょう。それゆえ、私たちは必要以上のものを要求すべきではないのです。

 

ユーザーが複雑なルールにもかかわらずアカウントを作ろうとするならば、正確なパスワードを入力してログインするという次の挑戦が始まります。何を打つか見えないと失敗することもよくあります。タイピングよりも大きな問題はパスワードを忘れることであり、それゆえにウェブサイトで最もよく押されるボタンは、パスワードをリセットするための「パスワードを忘れました」というボタンです。

 

パスワードのリセットプロセスが適切にデザインされていても、おそらくユーザーの中にはサポートを必要とする人々もいます。最悪のケースは、その結果一般的なサービスが悪化し、サポート部門の作業が増えたり、より高価なものになってしまうかもしれません。

 

 

 

しかし心配はいりません。ここに５つの有効な方法があります!

1. 
   

   1.安全なパスワードを必要とする理由

私たちはユーザーに安全なパスワードが必要な理由を説明しなければなりません。パスワードはユーザーのプライバシーを保護し、個人情報の盗難を防ぎます。

Gmailはパスワード強化のために、パスワード作成時に私たち自身に関する質問への答えを提示します。

 

 

2. 
   

   2.パスワード作成を簡単に

私たちはパスワード作成をできるだけ簡単なものにしなければなりません。それゆえに次のルール以上のものを定めてはいけません：「〇文字以上を使用してください。」もちろん、この結果「password」のような頻繁に用いられるハッキングなどの攻撃に弱いパスワードを作ることが可能になってしまいます。これらのパスワードを作ることは禁止すべきです。

 

 

 

3. 
   

   3.ソーシャル・ログインを使用する

「ツイッター」や「フェイスブック」のようなソーシャルネットワークはログインAPIを提供しています。それらに登録している大部分のユーザーは、サービスを利用するために特別なパスワードを作る必要がありません。代わりに彼らは「フェイスブック」や「ツイッター」による認証を行うことで、これらのサービスから既存のユーザー記録を利用できます。

 

 

 

4. 4.ログインフォームで電子メールアドレスのみを使用する

「ミディアム」では方法が異なります：ソーシャルメディア・ログインを使う気がないユーザーも、パスワードを作ることなくアカウントを取得できるシステムになっています。これは少なくとも「普通の」ユーザーにとっては完全な方法です。ユーザーがローカルストレージやクッキーをアクティブにする必要があることで、ハッカーなどの攻撃者にパスワードを引き出されてしまうかもしれません。あなたのターゲット層がクッキーを非アクティブにし、プライバシーに高い関心があるならばこの方法は上手くいかないでしょう。

一方、大多数のユーザーは素晴らしい体験をするでしょう：ユーザー名のみを作成して電子メールアドレスでログインします。パスワードは要りません。何も問題はありません。

 

 

 

5. 
   

   5.サインアップの壁を完全に取り払う

奇妙に聞こえるかもしれませんが、パスワードはおそらく全く必要ないのです。

アカウントを必要とするソーシャルネットワークをデザインしないならば、おそらく必要はないでしょう。

 

私は読者が記事にコメントできるメディア・プラットフォームを開発しました。セキュリティ上の理由からメールアドレスを記録することがアカウントシステムにおいて必要となりますが、ドイツのプライバシーに関連する法律と衝突しながら開発とデザインを行わなければなりませんでした。ユーザーは登録する代わりに、１つのコメントにつきメールアドレスを確認することで記事にコメントすることができます。コメントする度に、コメントを書いたことを確認するためのメールを受け取ることになります。このことによって、パスワードを設定する必要なくメールアドレスとコメントをつなぎ合わせることが可能になります。

 

 

終わりに

パスワードの安全性とこのトピックについて考えるのがデザイナーの仕事である理由が少しでもわかってもらえたことを願っています。ユーザー体験の単なる１ピースにすぎませんが、それぞれのピースを理解することで優れたUXを構築できると私は信じています。

 

 

 

 

※本記事は、Why Complex Passwords Are Bad Design And 5 Ways To Do Betterを翻訳・再構成したものです