パスワード疲れ

パスワード疲れ (パスワードづかれ、英: password fatigue) とは、日常生活の一部として過剰な数のパスワードを覚えておかなければならない多くの人々が経験する疲労やストレスといった感覚^[1]^[2]^[3]。例として、職場のコンピュータへのログインや、自転車のロック解除、現金自動預け払い機 (ATM) における銀行取引の際にパスワードといった情報を求められる場面が多くなっているだけでなく、アカウントのセキュリティ強化の観点からもそれらを慎重に管理する必要があるなど、管理が複雑化している背景がある。パスワード疲れは、いわゆる現代病の一種とも言うことができ、パスワード・カオス (英: password chaos) やアイデンティティ・カオス (英: identity chaos) とも呼ばれる^[4]。

雇用や金融、交流など、人々の生活においてインターネットや情報技術の重要性が高まっており、それに伴って安全なトランザクション技術の導入により、人々は、アカウントやパスワードの蓄積量が急増している^[5]^[6]。イギリスのオンラインセキュリティコンサルタントサービスであるNTA Monitorの2002年の調査によると、典型的なコンピュータの高度利用者は、パスワードを必要とするアカウントを21つ所持している^[7]。

パスワード疲れを引き起こすいくつかの要因は下記が挙げられる^[8]。

ユーザーが新しいパスワードを作成する必要がある
ユーザーが新しいパスワードを作成する際に、特定の文字や数字、特殊文字を使用する必要がある
ユーザーに新しいパスワードを2回入力させる
同じウェブサイトやイントラネットにアクセスする際に、1日を通してパスワードの再入力が頻発する
タイピングがあまり得意でないユーザーが、入力中も隠されているパスワードを複数回入力する

解決方法

ユーザーの資格情報が自動的に入力されるように代替認証方法（公開鍵証明書やワンタイムパスワード、生体認証など）や技術を実装しているサービスもある一方で、ユーザビリティに重点を置かず、独自の認証方法といった新しいアプリケーションを実装し、状況をさらに悪化している場合もある。

シングルサインオン

→詳細は「シングルサインオン」を参照

シングルサインオン (SSO) を使用すると、ユーザーがアプリケーションの1つのパスワード（マスターパスワード）を覚えるだけで、自動的に他の複数のアカウントにアクセスできるようになる^[9]^[10]。そのため、ユーザーのコンピュータにエージェントソフトウェアを必要とせずに、パスワード疲れを軽減できる。潜在的な欠点は、マスターパスワードを失うとSSOを用いたすべてのシステムにアクセスできなくなる。また、そのパスワードが盗難・悪用されてしまうと、攻撃者によって多くのサービスがターゲットになる可能性がある。

ソーシャル・ログインもSSOの一種と言うことができ、FacebookやTwitterといったソーシャルメディアのアカウントを利用し、他のサービスにログインできる^[10]。

パスワードマネージャー

→詳細は「パスワードマネージャー」を参照

KeePassやLastPassなどのパスワードマネージャーは、1つのパスワードで暗号化されたデータベースにパスワードを保存することで、パスワード疲れの軽減に役立つ。しかし、シングルサインオンと同様に、マスターパスワードを失うとアクセスできなくなり、盗難・悪用されると入手した他人がアクセスできるようになる。

また、多くのオペレーティングシステムは、ユーザーのログイン・パスワードを使用して、暗号化されたデータベースのロックを解除することにより、パスワードの保存や参照できるシステムを提供している。例えば、Microsoft Windowsは、ウェブサイトや他のコンピュータへのログオンに使用されるユーザー名とパスワードを格納できる「資格情報マネージャー」を搭載している。macOSには「キーチェーンアクセス」、デスクトップ環境アプリケーションであるGNOMEやKDE、さらに、主要なウェブブラウザにも同様の機能が搭載されている。

パスワードリカバリー

パスワードによって保護されたウェブサービスの多くは、ユーザーのアカウントに関連付けられたメールアドレスや秘密の質問（または、その他の情報）を介して、パスワードを回復（再設定）できるようにする機能を提供している。パスワードを失ってしまった際に有効であるが、このシステム自体がソーシャル・エンジニアリング攻撃の標的にされることもある^[11]。

パスワード疲れ

関連する問題

解決方法

シングルサインオン

パスワードマネージャー

パスワードリカバリー

脚注

関連項目

Related Articles