異なるサービスで同一のパスワードを利用すると、
一つのパスワードが流出した場合、無関係なサービスであっても、
同一のパスワードを設定している全てのサービスのパスワードが流出したことになり、大変危険な事態となります。
無数のサービスで異なるパスワードを設定し、
かつ、全てのパスワードを自身で記憶するのは人間には極めて困難です。
そのため、当サービスでは、
ランダムパスワード生成機能を用意してランダムパスワードの利用を推薦し、
本人でも覚えられないランダムパスワードの使用を前提に、
パスワードがわからなくなった場合でも利便性を損なわない様に、パスワード問い合わせ機能を提供しています。
ランダムパスワードは覚えることは無理だと思いますので、
WEBブラウザ等のアプリケーションに保存して利用することをおすすめします。
Q&A
共有フォルダ等、公開領域に平文で保存するのは問題があります。
WEBブラウザのパスワード保存機能を利用することを想定していますが、
その場合はブラウザの個人設定保存領域は他人がアクセスできるようにしてはいけません。
公開領域以外に保存する場合、ウイルス等によりパスワードが流出する危険が考えられますが、
ウイルス等によりクライアント端末に侵入できるとしたら、
キーボード入力内容等が監視される危険性も考えられますし、
ユーザー自身が正規にログインしている状況下で、ユーザー自身の端末で裏で通信を行うこともできますので、
パスワードが流出しなくても要認証ページへアクセスされる危険が生じます。
ウイルスに感染する端末でも安全な認証というものは提供することはできません。
PCへの記録以外に、紙への印刷も考えられますが、
PC以外に記録してもウイルスの脅威が完全に消えるわけではありませんが、
紙に記録した場合、撮影や紛失の可能性が増しますので、
PCへの記録の方が安全と考えます。
どこにも記録せずに無数のサービスで異なるパスワードを設定して記憶できれば安全ですが、人間には無理だと考えます。
ウイルス等によるパスワード流出の危険性よりも、
複数のサービスで同一のパスワードを利用する危険性の方がより危険だと考えます。
パスワード問い合わせ機能の代わりにパスワード再設定機能を用意する場合、
サーバーにはパスワードから計算した復号不可能なハッシュ値を保存し、
実パスワードはサーバーには保存しないという方法が取れるため、
万が一サービス側がパスワードを流出させた場合でも他サービスに影響を与えなくなります。
しかし、万が一当サービスにパスワードを流出させるような問題があった場合、
パスワード以外の情報を流出させる危険度もパスワードと同程度であり、
流出ではなく改竄の危険性も同程度であると考えます。
従いまして、
パスワードを復号不可能な方法で保存する場合と、そうでない場合とでは、当サービス自体の危険性に大きな違いはないと考えます。
ランダムパスワードが設定されていればパスワードが流出した場合でも他サービスへは影響しません。
パスワード問い合わせ機能の代わりにパスワード再設定機能を用意すると、
複数のアプリケーションでサービスを利用する場合、
新規に利用するアプリケーションを追加する場合にパスワードがわからないと再設定することになり、
再設定すると元々利用していたアプリケーションに保存していたパスワードが無効になってしまいます。
これでは、本人でも覚えられないランダムパスワードを設定する際に抵抗となり、
ランダムパスワードの利用を避ける原因となりうるとの考えから、パスワード問い合わせ機能が利用できるシステムにしています。
なお、選択式でハッシュ認証にする機能を導入しているため、希望する場合はパスワードをハッシュモードにすることができます。
パスワードをハッシュモードにした場合はパスワード問い合わせ機能は通知ではなく再設定になります。
