パスワード入力の「****」は不要？　研究者の間で激しい論議:アルファルファモザイクだった

パスワード入力の「****」は不要？　研究者の間で激しい論議

ネット,PC,技術 ,学問,科学,芸術｜20090701

ブックマーク： Buzzurl

/ Hatena

/Yahoo! 　

タグ：: セキュリティ; 卒研; web制作; ソフトウェア

■編集元：ビジネスnews+板より「【IT】パスワード入力の「****」は不要？　研究者の間で激しい論議 [07/01]」

1 ライトスタッフ◎φ ★ :2009/07/01(水) 10:01:01 ID:???

　Webサイトなどでパスワードを入力する際、「****」を使って入力した文字が見えないようにする必要はないのではないか――。そんな提案をめぐり、研究者が賛否両論を展開している。

　最初に問題を提起したのはWebユーザビリティ研究の第一人者ヤコブ・ニールセン氏。「パスワードを入力する際、画面に“****”としか表示されないのはユーザビリティ上問題がある。一般的に、パスワードを隠してもセキュリティは向上しない。それどころかログインに失敗してコストがかさむ」と指摘し、入力したパスワードの文字がはっきり見えるようにした方がいいと提言した。

　著名なセキュリティ研究者のブルース・シュナイアー氏も、ブログでニールセン氏の意見に賛同を表明。「パスワードの文字を表示すれば入力ミスも減る。わたしもずっと前から、自分が入力したパスワードが見えないのは不便だと思っていた」と打ち明けた。他人に後ろからパスワードをのぞき見される「ショルダーサーフィン」（もしくはショルダーハッキング）の不安があるという意見については、「ショルダーサーフィンはそれほど頻繁にあることではない」と述べている。

　これに対してセキュリティ企業SophosやTrend Microの研究者は、パスワードを隠すことには意味があるとの立場から、ブログで反論を展開している。

　「ショルダーサーフィンが日常的に行われているという現実を、シュナイアー氏は過小評価している」と主張するのはTrend Microのベン・エイプリル氏。「パスワードを隠すことは、“パスワードを他人に教えてはいけない”というメッセージをユーザーに投げかける役割も果たしている」と指摘した。

　Sophosのグラハム・クルーリー氏も、インターネットカフェや職場でパスワードをのぞき見される不安は大きいとの意見だ。さらに「パスワードを隠しているのは個々のWebサイトではなく、FirefoxやInternet Explorer（IE）などのブラウザだという点を、ニールセン氏やシュナイアー氏は誤解しているようだ」とも言い添えた。

　ニールセン氏は、パスワードを隠すか隠さないかをユーザーが選択できるチェックボックスを設けることも提唱しているが、これについてもクルーリー氏は「友人の目の前でわざわざ“パスワードを隠す”にチェックを入れるくらいなら、最初
から見えない方がいい」と一蹴している。

◎ソース
http://www.itmedia.co.jp/news/articles/0907/01/news033.html

◎関連過去スレ
【調査】ネットユーザーの9割以上がID・パスワードを違うサイトで使い回し--野村総研 [06/12]
http://anchorage.2ch.net/test/read.cgi/bizplus/1244765024/

4 名刺は切らしておりまして :2009/07/01(水) 10:03:47 ID:GiVeazWx

たまに長いパスワードの所があると
いつも使ってるパスワードが使えなくて不便。

5 名刺は切らしておりまして :2009/07/01(水) 10:04:06 ID:RguzkeKu

ショルダーハッキングは画面ではなくキーボードを見る派の俺が３げｔ

14 名刺は切らしておりまして :2009/07/01(水) 10:09:54 ID:XwpxtjQl

>>5
マイナー配列の俺には隙がなかった。

101 名刺は切らしておりまして :2009/07/01(水) 12:02:25 ID:Elw3dn3r

>>5
画面上の***を見て解読できりゃ神だよｗ

7 名刺は切らしておりまして :2009/07/01(水) 10:06:09 ID:G163HtsI

セキュリティ研究者が「それほどあることではない」とかwww

141 名刺は切らしておりまして :2009/07/01(水) 13:40:17 ID:k+GZzl3M

>>7
万に一つの可能性を考慮するのが専門家だけれども、
現実的な落としどころを提示するのも専門家の役目でしょ。

9 名刺は切らしておりまして :2009/07/01(水) 10:06:40 ID:XwpxtjQl

一瞬表示されて、すぐ*でマスクされるってのはどうだ? あんま意味ないか。

10 名刺は切らしておりまして :2009/07/01(水) 10:06:48 ID:oZwNjARK

自動で半角にならないとき、****だと「あれっ？」ってなる。

12 名刺は切らしておりまして :2009/07/01(水) 10:08:57 ID:TlV8UO8Z

*** が表示されないのも困るけどな。
フォーカスが合ってるのかどうか気になる。

13 名刺は切らしておりまして :2009/07/01(水) 10:09:42 ID:JG9RUwly

キーボードを打っているときに他人が肩越しからパスワードをじっと盗み見る、そういう状況はちょっとあり得ないだろうなとは思う。

15 名刺は切らしておりまして :2009/07/01(水) 10:10:49 ID:cOFhlM4N

覗き見られると言っても
付箋紙にパスワード書いてモニター枠に何枚も貼り付けてるオヤジ多いけどね。

17 Ψ :2009/07/01(水) 10:11:49 ID:lgcLrSb8

短いパスワードなんか、隠しても、隠さなくてもどうでもいいだろ
ドラクエの復活の呪文レベルだったら隠さないほうがいいけど

19 名刺は切らしておりまして :2009/07/01(水) 10:13:10 ID:pO6l7L56

画面が見える場所にいるときは、キーボードも見える状態にあるわけで、
画面だけ隠してもショルダーハッキングを防ぐ事は出来ないな。

キーボードも隠さないと。

21 名刺は切らしておりまして :2009/07/01(水) 10:14:36 ID:C/yRQ4u4

めんどくさいから俺はエクセルにIDとパスワードの表作って必要なときはコピペしてる
意味ねぇ

44 名刺は切らしておりまして :2009/07/01(水) 10:34:41 ID:R7xtLE4y

>>21,31
KeePass Password Safeとかパスワード管理ソフトというものがあってだな…

23 名刺は切らしておりまして :2009/07/01(水) 10:15:36 ID:1Y92kIhL

パスワード関係で一番危険なのは、職場にいる同僚とかが
書き留めておいたパスワードを使っていろいろ妨害してきたりする事なんだよな。

自分も２ちゃんのスレ開いてるとこを上司に見られ、その時は何も言わなかったが。
その日以来、書き込むたびにヒドい煽りが入るようになったし

24 名刺は切らしておりまして :2009/07/01(水) 10:17:09 ID:hnfLYcZm

覗き見るやつがおったらすぐ分かると思うが

26 名刺は切らしておりまして :2009/07/01(水) 10:17:48 ID:Bhl//1qV

IT業界って暇なんだな

27 名刺は切らしておりまして :2009/07/01(水) 10:18:59 ID:q1NMUIrr

****と表示されれば入力しながら緊張感が伴うので、そのまま離席することもない

28 名刺は切らしておりまして :2009/07/01(水) 10:21:10 ID:0YkxBZGi

生体認証などのデバイス使うならともかく、基本的にユーザビリティとセキュリティは両立しないだろ

29 名刺は切らしておりまして :2009/07/01(水) 10:22:37 ID:l0gRKAdc

何を入力しても「くぁwせdrftgyふじこlp」でいいよ。

30 名刺は切らしておりまして :2009/07/01(水) 10:23:06 ID:k7hAtBlN

iphoneじゃあ入力した１文字がしばらく見えてるが
信者はあれが便利とか言ってるしアタマおかしいのかとオモタ
覗き見されりゃ確実に盗まれるだろ・・

158 名刺は切らしておりまして :2009/07/01(水) 16:23:57 ID:RWkWdden

>>30
まあそれ以前に叩いたキーがムニュって拡大するんで、
それを覗き見た方が早いけどなｗ

31 名刺は切らしておりまして :2009/07/01(水) 10:23:21 ID:VihiwhRu

半角ローマ字で入力すべきところが、カナ入力モードになって、どうしようもないことがあった。
>>21さんのようにコピーペーストしようにも、コピーもできなかった。
契約の申し込みを諦めた。

33 名刺は切らしておりまして :2009/07/01(水) 10:24:47 ID:xUdsq8wH

プロジェクタで投影してデモやるときはパスワードでないほうがいいなぁ

42 名刺は切らしておりまして :2009/07/01(水) 10:33:08 ID:0tZcdudO

>>33
確かにその状況だと出ないほうがいいね。

自分はその他の状況でも常時でないほうがいいに一票。

34 名刺は切らしておりまして :2009/07/01(水) 10:26:02 ID:e76GeB1G

いいこと思いついた！パスワード自体を ***　にすればいいんだ！

35 名刺は切らしておりまして :2009/07/01(水) 10:27:00 ID:SWHmWfpu

ＩＤ欄にカーソルあるのにパスワード入力しちゃってモロバレっすよｗ

36 名刺は切らしておりまして :2009/07/01(水) 10:30:12 ID:XjCO2aru

そんなのよりメイルアドレスを確認の為２回入力するなんてバカな事はやめて欲しい。

39 名刺は切らしておりまして :2009/07/01(水) 10:32:39 ID:PSRxI3K7

>>36
それでコピペが無効化されているのが一番腹立つｗ
コピペの方が打ち間違いないだろってｗ

37 名刺は切らしておりまして :2009/07/01(水) 10:31:28 ID:rUtIS0Qj

画面上で隠しても、メモ覗かれたら意味ないよな

40 （　´▽｀） ◆SAITAMAHo. :2009/07/01(水) 10:32:40 ID:jUZX0Io7 ?2BP

必ず数字を入れろ
必ず+-/*/!等の記号を入れろ
必ず大文字、小文字は別々に１字以上は入れろ

うるさい　うるさい　うるさぁぁぁぁい

43 名刺は切らしておりまして :2009/07/01(水) 10:34:08 ID:d/fwnNUw

パスワードは常に画面の中央にでるようにしてフィルムでもはればいい

45 名刺は切らしておりまして :2009/07/01(水) 10:35:02 ID:BjHIFhpx

生体認証までの我慢ですね

46 名刺は切らしておりまして :2009/07/01(水) 10:35:05 ID:PSRxI3K7

メールアドレスはできるならあらかじめ到着確認しておいてから、
メール本文の指定のURLへアクセスして入力する形にするといい。

47 名刺は切らしておりまして :2009/07/01(水) 10:35:23 ID:iFiNzmkN

単アルファベット換字式暗号で表示するのは？

ぱっと見じゃパスワードそのものじゃないからokじゃね？

48 名刺は切らしておりまして :2009/07/01(水) 10:35:45 ID:l6u0J53r

各サイト毎にめんどいから、共用認証にしてほしい…

49 名刺は切らしておりまして :2009/07/01(水) 10:39:32 ID:72iMlhwL

覗き見防止の、究極の手段はヘッドマウントディスプレイだけど
防止の為だけにそこまでするのもなあ・・・

タッチパネル端末なら文字じゃなくて、絵をパスワードにすることも
できそうだね。
決められた筆順で五芒星とか家紋を描いて認証するようにしたら、おもしろそう。

159 名刺は切らしておりまして :2009/07/01(水) 16:30:13 ID:WvVeb/G1

>>49
キーボードじっくり見られるのでは？w

57 名刺は切らしておりまして :2009/07/01(水) 10:46:41 ID:2ZZGhRxR

いい加減全部目で認証できるようにしろよ
いまどきパソコンなんてほとんど内蔵カメラ付いてんだから

63 名刺は切らしておりまして :2009/07/01(水) 10:51:27 ID:5dZjzRsD

>>57
カメラ付いてるほうが珍しくないか？

67 名刺は切らしておりまして :2009/07/01(水) 10:54:47 ID:2ZZGhRxR

>>63
Mac基準で考えてた

68 名刺は切らしておりまして :2009/07/01(水) 10:56:13 ID:wZbtSK4Q

ログインに失敗してコストがかさむというが
パスワードをそんなに打ち間違えるか？

78 名刺は切らしておりまして :2009/07/01(水) 11:04:45 ID:ii4hmn6a

>>68
いる。
Num Lockはずれているのに気づかず何度も
入力してアカウントロック状態にしてしまうのとか。

でもショルダーハッキングのことを考えると、＊のままの
ほうがいいとは思うけど。

86 名刺は切らしておりまして :2009/07/01(水) 11:29:07 ID:mymhKmPd

クレカの暗証番号も何枚か分からなくなってるのがある。

87 名刺は切らしておりまして :2009/07/01(水) 11:31:28 ID:o7i0MMLI

>>86
なさけねぇな～

俺とおんなじ。

96 名刺は切らしておりまして :2009/07/01(水) 11:49:53 ID:rA9mFDcz

男は黙って生年月日

110 名刺は切らしておりまして :2009/07/01(水) 12:32:17 ID:32am/er+

>>96
６０年以上、全て同じパスワード使ってるよ。

125 名刺は切らしておりまして :2009/07/01(水) 13:14:27 ID:hjFmr+zG

パスワード入れる
↓
「短すぎます」
↓
長くする
↓
「複雑にしてください」
↓
複雑にする
↓
「一週間経ちましたパスワードを変更してください」
↓
パスワードを入れる
↓
「前とおなじはダメです」
↓
このシステム使うの止める

146 名刺は切らしておりまして :2009/07/01(水) 15:05:12 ID:jyKJz830

>>125
楽天ショッピング乙

142 名刺は切らしておりまして :2009/07/01(水) 13:43:13 ID:eQplN3kh

**** で隠しても、get渡しで、
.../abc/def/login.cgi?id=aaa&pw=manko
とか、一瞬だけアドレス表示されるバカサイトもある。

144 名刺は切らしておりまして :2009/07/01(水) 13:52:05 ID:wU9TwI/c

>>142
ほとんどのヤツは引渡す変数なんて見てないからな
作ったやつも知識が薄いんだろう

148 名刺は切らしておりまして :2009/07/01(水) 15:12:12 ID:9y9wLw2Q

>>142
あるあるｗ
パスワード、パラメータで渡すバカｗ

くぎゅうーっ！！く、くーっ！！

クギュアーッ！！！ギュアーッ！！！！！

「パスワード入力の「****」は不要？　研究者の間で激しい論議」をTwitterに投稿する

タグ：: セキュリティ; 卒研; web制作; ソフトウェア

　Twitterに投稿　Tumblrに投稿｜ネット,PC,技術 ,学問,科学,芸術

ブックマーク： Buzzurl

/ Hatena

/Yahoo!

▼二次元の中にいる女を「俺の嫁」とし、そいつの為にお金をがんがんつぎ込むとして

核兵器の作り方を教えてください。　※念のためいっときますが別に作ろうと思っているわけじゃありません。▲

オススメの動画

▼二次元の中にいる女を「俺の嫁」とし、そいつの為にお金をがんがんつぎ込むとして

核兵器の作り方を教えてください。　※念のためいっときますが別に作ろうと思っているわけじゃありません。▲

同じカテゴリーの記事

コメントありがとう御座います。★最新のコメントへ（39）

1001 学名ナナシ :2009年07月01日 18:06 ID:lWPXuXYu0

>>39
メルアド二重記入のコピペ禁止はまだいい。
IME変換不可能になっているのが怒髪天をつく。

メアドなんて辞書登録しとるっちゅーねん。

1002 名無し :2009年07月01日 18:07 ID:QL1ovcuDO

1げと

1003 学名ナナシ :2009年07月01日 18:11 ID:XUGMP6wg0

142はありすぎて困る

1004 学名ナナシ :2009年07月01日 18:12 ID:5.1OSk.P0

142で俺の普段のpwばらされた

1005 学名ナナシ :2009年07月01日 18:16 ID:gnj77EML0

カモだらけ

1006 学名ナナシ :2009年07月01日 18:22 ID:be0.J1fO0

10年近く前の話。
サイボウズにいちいちログインするの邪魔くさいから、
URLに引数としてIDとパス入れてブックマークして使ってたら、
その引数付きURLがぐぐるさんに登録されて困ったことがw

1007 学名ナナシ :2009年07月01日 18:27 ID:oHS9JRg90

隠すか隠さないか自分で選べたら一番いい

1008 学名ナナシ :2009年07月01日 18:41 ID:VcoN5tiB0

●●●●●●●
で表示されているパスワードも、
Javascript使えば中身が分かる

1009 学名ナナシ :2009年07月01日 18:49 ID:SuN5cGCs0

>>110はマジなのか

1010 学名ナナシ :2009年07月01日 18:52 ID:wLELtGUa0

何とも微妙だわな...画面上のパスワードを隠しても手元を見られる環境では隠しても意味ないしましてや堂々とメモを見ながら入力しているようでは意味が無いんだよね。
これをどんなに批判しようともセキュリティ研究者のような意識になってくれない人てのは居なくならないのも現実。
まあ個人的にはそういう馬鹿は放っておけとも思うけどそれでは済まないのが時代の流れとか世論だったり(過保護な世の中ですから)。
何か新しい仕組は考えても無駄じゃないよね。

1011 学名ナナシ :2009年07月01日 19:03 ID:eDEynG8N0

今パスワード入力してるよ！っていう自覚がもてるから必要だと思うけどな。
自覚するだけで人に教えてはいけないものなんだって気はするし。

1012 :2009年07月01日 19:21 ID:Xxxn87EEO

悪趣味な友人に、キーボードに対する手の動きからパスワードを推測されたことあるから、***じゃ無くても良いわ
設定でオンオフ切り換えられるのは良いな
普段使いでは隠す必要無いが、プロジェクターに映す場で隠されてなかったら困る

1013 学名ナナシ :2009年07月01日 19:32 ID:aVWbEoFd0

不当アクセスするやつを抹殺したほうが早い

1014 学名ナナシ :2009年07月01日 19:35 ID:zdAgqRgN0

共用してるとかネカフェだとパスワード見えるのはちと怖いな

1015 学名ナナシ :2009年07月01日 19:38 ID:lWPXuXYu0

手元云々は、画面に表示されてるのを見るよりはだいぶ難易度高いから
一応別扱いしたほうがいいんじゃない？
似たようなもんだって言ってる人いるけど。

画面にパスワードが表示されてたら、
キーボード配列に詳しくない人でも憶えられるわけだし。

1016 学名ナナシ :2009年07月01日 19:42 ID:k7FgBqej0

今時パスワードをパラメタで渡すサイトなぞあるのか？
まぁ昔はURLの数値弄ってリクエスト再送するだけで受け付けてしまう、
アホなサイトとかもあったけどさ

1017 ('A`) :2009年07月01日 19:44 ID:vLIJeoZqO

少し前流行った共有ソフトのウイルス見たいに定期的にスクリーンショット撮影して公開するようなやつが出たら危ないな
まあそんなのに引っ掛かるなら別のところでもパス流してるだろうがｗｗｗ

1018 学名ナナシ :2009年07月01日 19:47 ID:81PP6ZJH0

企業サイトでも、入力フォームに特定のSQL言語書いて送信すると他のユーザのアカウントとパスワードとか個人情報とか抜けるところが未だにあるらしい。某一流国立のセキュリティ関連の教授が言ってた。
まだ対策してねーのかと泣きたくなるな。

1019 学名ナナシ :2009年07月01日 19:47 ID:VLjUDFq90

他人がすぐ近くにいる状況では、解読されても問題ないパスワードを使うべきだ。
なぜなら、他人が物理的にPCにアクセスできる状況なら容易にHDD内のパスワードファイルを持ち出して別コンピュータで解析することができるからだ。
だから自分のPC以外でのパスワードは人に知られても被害の無いものを使わなければならない。

1020 学名ナナシ :2009年07月01日 19:48 ID:0Jy5TmdD0

ニールセン先生まだ生きてたんか

1021 学名ナナシ :2009年07月01日 19:49 ID:VLjUDFq90

流石に入力フォームのSQL構文やバッファオーバーフローなんかは対策してない方が悪いｗ

1022 学名ナナシ :2009年07月01日 19:53 ID:.bAoLlp70

俺詐欺ですら、目の前で行員や警官に止められても振り込んで
後から止めなかったと裁判するようなアホが居る世の中だぞ。
入力し易くなったお陰で被害を受けたと言い出す奴が必ず居る。
問題起きても訴えませんって契約に載せるんだったら良いんじゃないか？
まぁ揉める人はマスクされようが簡単になろうが必ずトラブル起こすんだよなぁ。

1023 学名ナナシ :2009年07月01日 19:54 ID:2K5AZm3U0

*1009
60年前に庶民がパスワードを使っただろうか？

1024 学名ナナシ :2009年07月01日 20:00 ID:k7FgBqej0

>>1021
DB専門にやってるやつならともかく、PHPとかから開発に入ってきた人間だと
セカンドオーダSQLインジェクションなんかには意識が回らんのではないかなぁ
自分とこの入力フォームしかロクにチェックしないだろうし

DB側は各クエリ含めた来るデータ全部チェックしないと危ないから、
どうしてもDBに負担がかかる

1025 学名ナナシ :2009年07月01日 20:03 ID:XKq20mKu0

アルファベットと数字を混ぜなきゃいけないのはうざい
他のパスは統一してるから数ヶ月放置してると忘れる

1026 学名ナナシ :2009年07月01日 20:28 ID:fQyWpcKa0

表示とかよりも後ろにいる友人に
「あっちむいててよ」って一言言えば良いんじゃないんですか？

1027 学名ナナシ :2009年07月01日 20:31 ID:aMwyyEQ.0

パスワードを入力しないといけないのはユーザビリティ上問題がある。一般的に、パスワードを設定してもセキュリティは向上しない。それどころかログインに失敗してコストがかさむ。

1028 学名ナナシ :2009年07月01日 20:55 ID:X8uN9o9p0

手元は背中で隠れて、画面は肩越しに見える・・・あると思うけどなぁ
リスクと労力比べたら、別に今のままでかまわんわ

1029 学名ナナシ :2009年07月01日 20:59 ID:WOaS7vYg0

>「あっちむいててよ」って一言言えば良いんじゃないんですか？
間柄にもよるが大抵はあなたが盗み見て悪用する可能性を万が一でも考えていますとは言いにくいだろう

1030 学名ナナシ :2009年07月01日 21:06 ID:a7DAhQzo0

ネットゲーなんかだと基本、家でのプレイだし*マークじゃなくてもいい気がするな
でも、正味な話するとどっちでもいいや。*でセキュリティがそうそう上がるわけでも無いし、逆に不便って事もないからな

1031 学名ナナシ :2009年07月01日 22:27 ID:uruepvdp0

楽天の本懐かしいなぁ
子供の頃よく読んでたよｗパスワードシリーズ

1032 学名ナナシ :2009年07月01日 22:58 ID:nXexmma.0

***じゃなくなったら困る
配信中とかパスワード丸見え

1033 学名ナナシ :2009年07月02日 03:49 ID:rc5K0xMg0

メールアドレスやパスワード２回入力のほうがむかつくな。
そこまでさせても確認画面とかあるしｗ

1034 学名ナナシ :2009年07月02日 03:51 ID:XLt41YXO0

プリントスクリーンを盗むウイルスなんかに感染したら、パスワード盗まれてしまうから、俺は＊＊＊＊の方がいい。

1035 学名ナナシ :2009年07月02日 10:05 ID:XQ8pKOzx0

別に全部表示とか全部*じゃなくてパスワードを長めにして部分的に表示したらいいんじゃないか？
1***5***みたいにして、ヒントがあれば意外と思いだすもんだと思う

1036 学名ナナシ :2009年07月02日 12:21 ID:dXghmLCO0

チェック式にしてユーザーに委ねればいい

1037 学名ナナシ :2009年07月02日 20:39 ID:7n287z6N0

>>1036
知り合ったばかりの微妙な仲の人とかがきたらどうすんだ？チェック開いて「隠す」にチェックいれて打ち直すのか？それを指摘されてるだろう。

俺は全部隠して欲しい。友達が見るとか見ないとかじゃない。実際なんかあったときに「見れる環境にあった奴」を疑うのが嫌なんだ。パスワードのうち間違いや覚え忘れとかでも「あいつにパス見られてたし、変えられたんじゃ？」とかの可能性を否定できないのが嫌だ。

1038 学名ナナシ :2009年07月02日 21:45 ID:BNtbHVR1O

知り合ったばかりの人が居てもパスワード覚える所か画面見えないだろ？PCの画面の一部が見えるって「パスワード見ます！」って位近づくか、かなり視力良くないと駄目な様な…

1039 学名ナナシ :2009年07月03日 06:59 ID:TUpYt15G0

山田にかかったら死ねる