パスワード関連の話を見かけたので,一般ユーザとして利用している時に感じる不満をいくつか.
私がこれまで利用してきた中で一番しんどいと思った事例は WebMoney が厳重すぎてそろそろしんどい で,これに関しては利用するのを止めると言う選択肢を取ったのですが,それ以外にもいくつか「しんどいなぁ」と感じる事例に遭遇しています.
例えば, docomo の携帯電話では,暗証番号やID・パスワードの発行・変更 を見ると 5 種類の ID/パスワードを使用しているようですが,この中で「iモードパスワード」と「ネットワーク暗証番号」の違いが分からずに混乱する事が多々あります.
また,別の例だと,ラグナロクオンライン と言うオンラインゲームでは,現在,ログインするための ID/パスワードの他に,ワンタイムパスワードとプレイするキャラクタ毎のスクリーンキーボードによるパスワードが設定されています.キャラクタは 1 アカウントで最大 6人まで作成する事ができるので,1 アカウントで最大 8 つのパスワードを管理する必要があります.私の場合は,一応 8 つとも違うパスワードを設定していますが,完全に違うパスワードだと覚えきれないので,ある法則にしたがってパスワードを設定するようにしています(なので,その法則を推測されると危険).
「取りあえず残す」と言う選択肢の弊害
docomo の例は,まぁ分かりやすいようにして下さいと言う感じでそれ以上は特に何もないのですが,WebMoney とラグナロクオンラインの例については,どちらも「スクリーンキーボードによるパスワード」の存在が,無駄にパスワードを増やしていると言う印象があります.
一時期,スクリーンキーボード(セキュリティボード,セキュアボード等とも呼ばれる)と言われる「画面上にキーを表示して,マウスによるクリックでパスワードを入力する」と言う手法がセキュリティ上有効であると言われ,多くのサービスで導入が進みました.
セキュリティキーボードは、「ソフトウェアキーボード(ソフトキーボード)」や「バーチャルパッド」などとも呼ばれ、金融機関のウェブサイトで提供される、パソコンのディスプレー上の画面に表示されたキーボードをマウスでクリックすることで、ログインID(口座番号)やパスワードなどを入力することができる仕組みをいう。これは、銀行のインターネットバンキングや証券会社のインターネットトレーディングなどで利用され、キーボードの操作履歴が残らないため、通常のキーボードで入力された情報を盗み取るスパイウェア(キーロガー等)への対策にもなり、安全な入力方法といえる。
セキュリティキーボードとは|金融経済用語集
しかし,この手法の有用性が疑問視された事を受けてか,すぐにワンタイムパスワード等の別のパスワードの導入が進む事となります.
セキュリティ関連MLではどのようにセキュアキーボード(ソフトウェアキーボード)を破るか話題になっていました。この対策は簡単に敗れる事が知られています。スクリーンラッパーという名称になる(?)ようですが、クリックした瞬間の画面イメージを攻撃者に送信する、という単純な手口でセキュアキーボードは破られてしまいます。すこし考えれば直ぐに破り方くらい分かると思うのですが何故か「セキュアキーボード」(安全なキーボード)と言う名称が付いているサイトが多くあります。
スクリーンラッパー付きのスパイウェアがいつ頃出回り始めるかな、と思っていたらもう出回っているようです。セキュアキーボードは”古い”キーロガーだけを使うスパイウェアには有効ですが、新しいスパイウェアには無力です。
セキュアキーボードは安全ではない | yohgaki's blog
ただ,多くの Web サービスでは,スクリーンキーボードによるパスワードの有用性が疑問視され他の手法に移行したにも関わらず,依然としてスクリーンキーボードによるパスワード「も」残しており,結果として入力しなければならないパスワードが増大しています.
スクリーンボードによるパスワードも「ないよりはあった方がいい」と言う面もあるので,万が一の事を考えて残しているのだろうとは思います.一方で,一つのサービスを利用するのに必要以上に多くのパスワードを入力させると,ユーザのパスワード管理能力の限界を超え(覚えきれない,辟易する等),個々のパスワードに対する意識が低下する危険性(分かりやすいパスワードを設定してしまう等)も考えられます.
