パスワードの心理学
様々なサービスを使おうとするたびにパスワードを要求されるが、
強いパスワードを確実に記憶しておくことは難しいので、
16桁の数字を気合いで覚えてそれから派生させるとか、
ベースとなるパスワードにシステム名を足したものを使うとか、
さまざまな工夫が提案されているようである。
かなりの根性と頭脳が無いとこのような方法を使うことはできないわけで、
頭脳明晰でない人はシステムを使うなと言っているようなものである。
パスワードを用いた認証というものが諸悪の根源であるにもかかわらず、
それが問題だという議論をほとんど聞いたことが無いのは全く不思議である。
パスワードより覚えやすい認証方式は提案されているのだが、 パスワードの方が強力で安全だという理由でほとんど使われていないようである。 実際は誰も強力なパスワードを頭で覚えておくことはできないから、 必ずどこかにパスワードを書いておく必要があり、 全然安全ではない運用になってしまっているはずである。
にもかかわらずパスワードが利用され続けているのは、 パスワードはなんとなく安全な気がするという誤解のせいであろう。 確かに誰もが強いパスワードを確実に覚えておくことができるのならば パスワードを用いた認証システムは安全であるが、 そんなことは無理だということに最初は気付きにくいのでこういう誤解が起こる。 また、自分が記憶するのが大変だから、他人が破るのも大変だろうという感覚も 誤解に一役買っているのではないかと思う。
写真を使う認証方法がいろいろ提案されているが、今のところ全然流行する気配が無い。 自分の写真を認証に利用する場合、 自分にとっては内容が自明なので、 なんとなく認証が弱いように感じられてしまうから流行しないのかもしれない。 運用まで考えると、個人的な情報を利用する方法はパスワードなどよりよほど安全だと思うのだが、 ユーザの心理まで考慮して、 なんとなく安全そうに感じられて/実際ある程度安全で/圧倒的に使いやすい ような認証システムが必要なのだろう。
posted by 増井 at
8:41 AM
3 Comments:
なんとなく安全そうに感じられて/実際ある程度安全で/圧倒的に使いやすいような認証システムをクライアント側が用意すれば良いだけです.例えばサービスのパスワードは難解にしておいて(ランダムな100桁とか),クライアント側に保存してあるパスワード一覧表を指紋認証で開くようにするなど.
下手に認証の規格が乱立するよりも今の枯れたパスワード方式が無難でしょう.
By
Anonymous, at 7:15 AM
バックエンドはパスワードでいいと思います。画像に対する操作をパスワード文字列に変換するシステムをクライアントに実装して実験してみてますが、
http://pitecan.com/papers/Interaction2006/Interaction2006.pdf
うまい方法はまだみつかってません。
ユーザが直接パスワードを覚えなきゃならないてのが大問題だと思いますね。
By
増井, at 10:33 AM
増井さんは、本当に凄い方ですね。
私はpalm ユーザーでpobox,palmwikiで
お世話になっています。
最近Appleに移られたという情報を見て
ここにたどり着きました。
私もpassword認証に興味があります。
多くのサイトのユーザーIDとパスワードを分ける
必要がどれくらいあるのかとか、
複数のユーザーが同じIDで有料サイトに
ログインするのを防ぐ方法はないのか?
などと考えています。
昔、増井さんは、ブログはすぐに飽きてしまうかもと
書かれていましたが続けていらっしゃるようで
安心しています。
今後、時々のぞかせて頂きたいと思っています。
By
Long, at 1:18 AM
Post a Comment
<< Home