アイディアの問題報告 | デジタル改革アイデアボックス

あなたと創るデジタル社会

デジタル改革アイデアボックス


アイディアの問題報告

対象の内容

認証の実装ルールの整備

開発者としても困ることがあるが、
主にユーザーとして困ることに、パスワードのルールがある。

シングルサインオンがあるサービスも増えているが、実装が容易なのと、
ユーザからもあえて連携させたくないためにパスワード認証を使うケースも多々あり、
今後も(しばらくは?)使われていくのは間違いない。

自分は数百のWebサービスに登録しているが、もちろんパスワードの使い回しなどするはずがなく、
かと言って1つ1つ覚えられるはずがないので、
英数字20〜30桁程度のパスワードを、パスワードマネージャを使用して自動生成している。

しかしこのパスワードマネージャに対応していないサイトがあり、困っている。
以下がその一例。

・パスワードの長さに制限がある(そもそも制限をつけるべきではない)
・「パスワードの確認」フィールドがペースト不可(何を考えているのか)
・記号が必須だが記号の文字種に制限がある(記号必須もやめて欲しい)

ユーザとしても苦痛だが、このような仕様を実装するのは開発者にとっても苦痛であり、
むしろセキュリティ的にはマイナスになっている。

あと、パスワードのルールは年々変わっていくにもかかわらず、記述が古いものが見られる。
例えば「パスワード IPA」で検索したこのサイト、例えばIPAで公開されているこのページも、明らかに現状では間違っているルール。
https://www.ipa.go.jp/chocotto/pw.html

これではユーザとしても開発者としても困るため、以下のようにして欲しい。

1. 認証に関する情報の一元化
先ほどのIPAのサイトのように、明らかに間違っているルールは有害無益であり、削除して欲しい。
パスワードを含め、認証方式はこれからも変わる可能性があるため、継続的にメンテナンスされる1つのサイトでまとめて欲しい。
もちろんパスワード認証に限らず、二要素認証、生体認証、OpenID Connectなどのシングルサインオンの情報も加えて欲しい。

2. パスワードマネージャとの親和性の高いパスワード認証実装方式のガイドライン
OSやブラウザにパスワードマネージャが組み込まれている現状を踏まえ、
パスワードマネージャの動作を妨げない、パスワード認証の実装方式をガイドラインとして作成して欲しい。
正直なところ、強制力があっても構わない。

報告/依頼内容
ページの先頭へ