パスワード設定/入力のユーザビリティ (パスワード管理ツール利用者でも利用できるように)

会員制のサービスでは、利用にあたってユーザー ID とパスワードが不可欠なものとなっていますが、パスワードの管理はユーザーにとって頭の痛い問題です。というのも、パスワードにはセキュリティ上の理由で多くの「べき」や「べからず」があり (たとえば「類推されやすいパスワードは避けるべき」「なるべく長い文字数にすべき」「異なる種類の文字 (大文字、小文字、数字) を混在させるべき」「複数のサービスでパスワードを使い回してはいけない」「(他者の目に触れる可能性のある) 紙などにメモしてはいけない」など)、さらには定期的にパスワードを変更する必要がある (しかも過去に使用したパスワードを再使用できない) サービスもあったりするからです。

正しいパスワード管理 (セキュアなパスワードを、利用しているサービスの数だけ、メモすることなく記憶する) は、実際問題として、もはや人間の能力の限界を超えていると思います。本当に正しくパスワードを管理しようとするのであれば、1Password のようなパスワード管理ツールを使うのも有力なオプションのひとつと言えるでしょう。

そんな中、パスワードを要求するサービス側の多くが、今もなおユーザーの記憶力に全面的に依存していることに驚かされることがあります。とりわけパスワード管理ツールの利用者にとっては、以下に挙げるような低いユーザビリティが、大きなフラストレーションになります。

パスワード入力時にコピー&ペーストを受け付けない

パスワードを入力する際、コピー&ペーストができないと、パスワード管理ツールで生成したパスワード (記憶できないほど長くて複雑な文字列) をスムーズに入力することができません。ユーザーが正確に記憶可能なパスワードを、(多くの場合パスワードマスキングがかけられた中で) 1文字ずつタイピングするしかないわけで、そうなると、結果的にセキュリティレベルが低い (文字数が少なかったり類推されやすい) パスワードで利用されてしまうリスクが高まるのではないでしょうか。

文字数制限が設けられている

入力できるパスワードに文字数制限が設けられていると、パスワード管理ツールで生成したパスワード (記憶できないほど長くて複雑な文字列) を入力できないことがあります。定められた文字数未満でパスワードを再生成すればサービスを利用できますが、文字数が少ない分だけセキュリティレベルは下がるので、ユーザーにとっては「もやもや」した感情が残るでしょう。

このような文字数制限は、データベース設計時に、ユーザーの記憶力を推計して設定されたのかもしれませんが、外部記憶装置 (パスワード管理ツール) によって自らの記憶力に依存しないユーザーもいることを理解し、文字数制限を無くす (あるいはメジャーなパスワード管理ツールが生成可能な文字数より多い数で制限を設ける) のがよいのではないでしょうか。

パスワードを再入力させる

入力したパスワードの綴りが正しいかどうかを確認させるために、パスワードを再入力させる場合があります。サービス側が想定する正しい入力方法は、コピー&ペーストすることなく1文字ずつタイピングすることですが、パスワード管理ツールでセキュリティレベルの高いパスワード (記憶できないほど長くて複雑な文字列) を生成しているユーザーにとっては非現実的で、結局はコピー&ペーストすることになります。

パスワード管理ツールを使わないユーザーであっても、パスワード再入力欄では機械的にコピー&ペーストしていることが多いのが現実で (ユーザビリティテストでもよく観察されます)、パスワードの再入力は、単に無駄な一手間を増やしているだけと言うこともできそうです。パスワードの綴りが正しいかどうかを確認させるのであれば、パスワード入力欄はひとつにして (再入力欄を設けずに) そこにパスワードマスキングを外すオプションを提供すればよいのではないでしょうか (参考 : パスワードのマスキングを任意で切り替える)。

「秘密の質問」を設けさせる

パスワードを忘れた場合の本人確認として「秘密の質問」が用いられることがあります。外部記憶装置 (パスワード管理ツール) によって自らの記憶力に依存しないユーザーにとっては無用の長物ですし、「好きな食べものは?」「初めて飼ったペットの名前は?」「新婚旅行で行った場所は?」といった類のQ&Aは、SNS が盛んに利用されている現代においては、もはや「秘密」とは言えない気がします。

適切な質問と答えを考え出すのは面倒ですし (特に日本語の場合、人名表記で姓名間にスペースを入れるか、海外の地名をカナとアルファベットのどちらで書くか、などといった表記ブレの余地も含めて間違いなく登録/記憶しなければならないので、余計に気を使います)、いざ実際に「秘密の質問」に答えなければならない状況になったときに、案外「秘密の質問」を設定したこと自体を忘れてしまっていたりします (システム側からの求めでしかたなく、早いところサインアップを済ませたいがために「えいや」でQ&Aを捻り出したような場合、その後忘れてしまうのはある意味自然と言えるかもしれません)。

正しいパスワード管理 (セキュアなパスワードを、利用サービスの数だけ、メモせず記憶する) は理想的かもしれませんが、実際には上述の通り人間の能力の限界を超えている現実を考えると、パスワードの入力や設定は、パスワード管理ツール利用者にとっても利用可能なものであって欲しいと思います。