パスワードを忘れた場合の対処
現在、パスワードを利用するウェブサービスなどが数多く存在するので、たいていの人はたまにしか使わないようなパスワード (もしくは ID自体) を忘れてしまって難儀した経験を持っているであろう。
パスワードを思い出すためのヒントを設定できたり、パスワードをリセットしたりメールで送ったりするための「秘密の質問」を設定させられたりするものもある。
こうしたヒントや質問は、パスワード以上に適切な (自分だけに解り、他者に推測されない) 設定をするのが難しい。それはすなわちパスワードよりもあっさり破られやすいということなので、「秘密の質問」だけでログインできたりするのはかなり危険である。
リセットのためのメールが送られるような仕組みの場合は、そのメールが送られる経路が充分に「違う通信手段」であり、メールへのアクセスも (問題のない程度に) 安全であれば、バランス的に妥当な方法であろう。
一方、忘れてしまった場合の対処のコストが高い、とユーザが感じるようであると、「簡単なパスワードにする」「忘れてもいいようにメモしておく」などの行動を取る可能性が高くなる。
こうした、厳しくすることでかえって危険が増すかもしれない、という状況は、ヒューマンエラー対策などいろいろな場面で現れるので、常に注意が必要である。
護るべきものとコストのバランス
パスワードやセキュリティ関連の設定や運用は、使い勝手やコストと求められる安全性のバランスが重要である。そして、技術の進歩やサービスの需要の変化などによりその最適なポイントは変化していく。人間の能力や心理的な特性と、計算機技術の特徴や本質の両方をしっかり理解しないと、そのポイントは見つけられない。広く深く学ぶことが、よいデザインへとつながっていくのである。
- 綾塚祐二
- 東京大学大学院理学系研究科情報科学専攻修了。ソニーコンピュータサイエンス研究所、トヨタIT開発センター、ISIDオープンイノベーションラボを経て、現在、株式会社クレスコ、技術研究所副所長。HCIが専門で、GUI、実世界指向インターフェース、拡張現実感、写真を用いたコミュニケーションなどの研究を行ってきている。