パスワード入力の「****」は不要? 研究者の間で激しい論議

入力したパスワードは「****」で隠さずに、はっきり見えるようにした方がいいのではないか。そんな提案をめぐり研究者が賛否両論を展開している。

» 2009年07月01日 08時56分 公開
[ITmedia]

 Webサイトなどでパスワードを入力する際、「****」を使って入力した文字が見えないようにする必要はないのではないか――。そんな提案をめぐり、研究者が賛否両論を展開している。

 最初に問題を提起したのはWebユーザビリティ研究の第一人者ヤコブ・ニールセン氏。「パスワードを入力する際、画面に“****”としか表示されないのはユーザビリティ上問題がある。一般的に、パスワードを隠してもセキュリティは向上しない。それどころかログインに失敗してコストがかさむ」と指摘し、入力したパスワードの文字がはっきり見えるようにした方がいいと提言した。

 著名なセキュリティ研究者のブルース・シュナイアー氏も、ブログでニールセン氏の意見に賛同を表明。「パスワードの文字を表示すれば入力ミスも減る。わたしもずっと前から、自分が入力したパスワードが見えないのは不便だと思っていた」と打ち明けた。他人に後ろからパスワードをのぞき見される「ショルダーサーフィン」(もしくはショルダーハッキング)の不安があるという意見については、「ショルダーサーフィンはそれほど頻繁にあることではない」と述べている。

 これに対してセキュリティ企業SophosやTrend Microの研究者は、パスワードを隠すことには意味があるとの立場から、ブログで反論を展開している。

 「ショルダーサーフィンが日常的に行われているという現実を、シュナイアー氏は過小評価している」と主張するのはTrend Microのベン・エイプリル氏。「パスワードを隠すことは、“パスワードを他人に教えてはいけない”というメッセージをユーザーに投げかける役割も果たしている」と指摘した。

 Sophosのグラハム・クルーリー氏も、インターネットカフェや職場でパスワードをのぞき見される不安は大きいとの意見だ。さらに「パスワードを隠しているのは個々のWebサイトではなく、FirefoxやInternet Explorer(IE)などのブラウザだという点を、ニールセン氏やシュナイアー氏は誤解しているようだ」とも言い添えた。

 ニールセン氏は、パスワードを隠すか隠さないかをユーザーが選択できるチェックボックスを設けることも提唱しているが、これについてもクルーリー氏は「友人の目の前でわざわざ“パスワードを隠す”にチェックを入れるくらいなら、最初から見えない方がいい」と一蹴している。

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.