パスワードのルールが独特すぎて絶望した話

とあるサイトに久しぶりにアクセスしようとしたら「パスワードが違います」と言われまして。

それで脳内のデータベースから思いつく限りのパスワード候補を片っ端から入力してみるんですが、1つもヒットしないわけです。これ以上何度もやるとアカウントロックされるんじゃないかと不安になってきたので仕方なくパスワード再設定の手続きをしてみたんですが、その手続きを経て再設定しようとすると、パスワードの設定ルールが「半角数字6桁」。

……なんじゃそりゃ！ ていうか、ワードじゃねえし！ パスナンバーって言ってくれよ、もう。

さすがにこれは極端な例ですが、独特なパスワードルールを強要するシステムってのは意外と多いもんです。

で、システム的に制約があるならそれは仕方ないとして、パスワードを間違えて再入力を促すときには、そのサイトのパスワード設定ルールを明示するべきだと思うんです。「このサイトのパスワードは大文字を必ず1文字含む8文字以上16文字以内の半角英数字で設定されています」とか。これを教えてくれるだけで、「あ、あれかも」と思い出せる確率はかなり高くなるはず。手間もストレスもずいぶん軽減されます。

それを表示したら不正アクセスする悪いやつにヒントを与えることになるとか言う人いるかもしれませんが、そんなもの新規登録画面でパスワード入力するところに絶対表示されてるので最初からワールドワイドに全力でヒント公開中なわけです。隠す意味が全くない。

大文字を必ず1文字入れろとか、数字を必ず含めろとか、システム担当してる人がそういうルールにしたくなる気持ちもわかりますが、このせいでユーザーが普段全く使わないタイプの思いつきのパスワードを無理矢理設定することになって、パスワード間違いで何度もアクセス繰り返されたりだとか再発行手続きの処理が異様に多く走ったりだとかカスタマーサポートに電話かかってきて対応に追われるだとか、そういうコストが上がって結局誰も幸せになってないじゃないかという気もします。

基本的に総当たり攻撃に対する耐性を高めるのがパスワード複雑化の目的ですが、使う文字種を増やすよう強制するより単純にパスワードの長さを長くするだけでもお手軽に強度は上がるので、その方がまだわかりやすいかもしれない。まあ、それはそれで最後の4文字とか誕生日になってるパターン多くなりそうな気もしますが。

…てなことを書きつつ、僕が関わってるプロジェクトでもパスワード間違えたときにパスワード設定ルールを明示するようにしてないとこ全然ある気がしてきたので、ちょっと足下から見直してみたいと思います。