パスワード疲れ (パスワードづかれ、英: password fatigue) とは、日常生活の一部として過剰な数のパスワードを覚えておかなければならない多くの人々が経験する疲労やストレスといった感覚[1][2][3]。例として、職場のコンピュータへのログインや、自転車のロック解除、現金自動預け払い機 (ATM) における銀行取引の際にパスワードといった情報を求められる場面が多くなっているだけでなく、アカウントのセキュリティ強化の観点からもそれらを慎重に管理する必要があるなど、管理が複雑化している背景がある。パスワード疲れは、いわゆる現代病の一種とも言うことができ、パスワード・カオス (英: password chaos) やアイデンティティ・カオス (英: identity chaos) とも呼ばれる[4]。
原因
雇用や金融、交流など、人々の生活においてインターネットや情報技術の重要性が高まっており、それに伴って安全なトランザクション技術の導入により、人々は、アカウントやパスワードの蓄積量が急増している[5][6]。イギリスのオンラインセキュリティコンサルタントサービスであるNTA Monitorの2002年の調査によると、典型的なコンピュータの高度利用者は、パスワードを必要とするアカウントを21つ所持している[7]。
パスワード疲れを引き起こすいくつかの要因は下記が挙げられる[8]。
- ユーザーが新しいパスワードを作成する必要がある
- ユーザーが新しいパスワードを作成する際に、特定の文字や数字、特殊文字を使用する必要がある
- ユーザーに新しいパスワードを2回入力させる
- 同じウェブサイトやイントラネットにアクセスする際に、1日を通してパスワードの再入力が頻発する
- タイピングがあまり得意でないユーザーが、入力中も隠されているパスワードを複数回入力する
関連する問題
パスワード疲れはストレスの一因となるだけでなく、保護された情報のセキュリティを低下させるような習慣を人々が取り入れてしまうことに拍車をかける可能性がある。例えば、多くのウェブサイトでは、ユーザーが推測しやすいパスワードを使用できないようにするために、パスワードの長さや構成に制約を加えている。しかし、この制約がパスワード疲れをより助長しており、アカウントの所有者は複数の異なるアカウントに同じパスワードを使用したり、クラッキングに対して脆弱な覚えやすいパスワードを意図的に設定したり、そのようなパスワードをテキストファイルに平文での保存や付箋のような安全ではない記録に依存したりしてしまうことがある[5][6]。
また、通常であればパスワード疲れは、ユーザーに影響を与えるが、アカウントを管理する技術部門にも影響を与える可能性がある。パスワードの制約や定期的に変更するように要求した結果、ユーザーが常にパスワードを再初期化しているため、両者のセキュリティ意識の低下につながっている[6]。
解決方法
ユーザーの資格情報が自動的に入力されるように代替認証方法(公開鍵証明書やワンタイムパスワード、生体認証など)や技術を実装しているサービスもある一方で、ユーザビリティに重点を置かず、独自の認証方法といった新しいアプリケーションを実装し、状況をさらに悪化している場合もある。
シングルサインオン
シングルサインオン (SSO) を使用すると、ユーザーがアプリケーションの1つのパスワード(マスターパスワード)を覚えるだけで、自動的に他の複数のアカウントにアクセスできるようになる[9][10]。そのため、ユーザーのコンピュータにエージェントソフトウェアを必要とせずに、パスワード疲れを軽減できる。潜在的な欠点は、マスターパスワードを失うとSSOを用いたすべてのシステムにアクセスできなくなる。また、そのパスワードが盗難・悪用されてしまうと、攻撃者によって多くのサービスがターゲットになる可能性がある。
ソーシャル・ログインもSSOの一種と言うことができ、FacebookやTwitterといったソーシャルメディアのアカウントを利用し、他のサービスにログインできる[10]。
パスワードマネージャー
KeePassやLastPassなどのパスワードマネージャーは、1つのパスワードで暗号化されたデータベースにパスワードを保存することで、パスワード疲れの軽減に役立つ。しかし、シングルサインオンと同様に、マスターパスワードを失うとアクセスできなくなり、盗難・悪用されると入手した他人がアクセスできるようになる。
また、多くのオペレーティングシステムは、ユーザーのログイン・パスワードを使用して、暗号化されたデータベースのロックを解除することにより、パスワードの保存や参照できるシステムを提供している。例えば、Microsoft Windowsは、ウェブサイトや他のコンピュータへのログオンに使用されるユーザー名とパスワードを格納できる「資格情報マネージャー」を搭載している。macOSには「キーチェーンアクセス」、デスクトップ環境アプリケーションであるGNOMEやKDE、さらに、主要なウェブブラウザにも同様の機能が搭載されている。
パスワードリカバリー
パスワードによって保護されたウェブサービスの多くは、ユーザーのアカウントに関連付けられたメールアドレスや秘密の質問(または、その他の情報)を介して、パスワードを回復(再設定)できるようにする機能を提供している。パスワードを失ってしまった際に有効であるが、このシステム自体がソーシャル・エンジニアリング攻撃の標的にされることもある[11]。
脚注
関連項目