Webアプリのセキュリティについて勉強しているなかで、面白い事実を知りました。それは、当たり前のようにマスキングされているパスワードについて、マスキングは不要だという声が増えてきていることです。マスキングというのは、パスワードを入力すると、入力した文字の代わりに「*****」や「●●●●」が出るやつ。
理由としては、マスキングすることで誤字入力による認証エラーが増え、結果としてユーザーは単純なパスワードをつけがちになるということ。
また、ソーシャルエンジニアリングにおいては、標的にされるとパスワードがマスキングされているかどうか程度ではさしたる違いはなく、重要な認証においてはそもそもソーシャルエンジニアリングによる被害を予防する物理的な対策の方が重要であることがあげられる。
で、更に現実としてMicrosoftやAppleは一部マスキングを解除する機能を提供し始めている。最初からマスキングを解除するわけではなく、大抵はチェックボックスなどにチェックを入れるとマスキングが解除される。
もし今後こうした流れが進んでいくんだとすれば、近年、Web界隈はUTF-8に寄ってきているわけだから、パスワードを半角英数字にする意味が薄れてくる。
半角英数記号を使ったパスワードのパターンは以下の通りだから、全角に漢字まで含まれてくると夢が膨らみます。
文字種 |
4桁 |
6桁 |
8桁 |
数字のみ |
1万 |
100万 |
1億 |
英小文字のみ |
46万 |
3億 |
2千億 |
英数字 |
1500万 |
570億 |
220兆 |
英数記号 |
7800万 |
6900億 |
6100兆 |