パスフレーズ

合言葉 (名詞)

[2] 合言葉 (パスワード) (password) は、認証のための秘密の文字列です。

[3] 合言葉を用いる多くの場面では、その対象者を特定する利用者名 (ユーザー名ユーザーIDアカウントなど) や電子メールアドレスなどの識別子と合言葉の組み合わせを認証に使います。 一般的には利用者名等は公開情報で入力欄にもそのまま表示され、 合言葉は非公開情報で入力欄でも隠して表示されるようになっています。

仕様書

呼称

[6] 一般的にはパスワードと呼ばれます。

[5] 専ら数字で構成されるものは暗証番号ともいいます。

[7] 特に長いことが期待されるものは、パスフレーズ (passphrase) ともいいます。

[8] 利用者が指定したものをパスワード認証者側が指定したものをトークンなどと呼んで区別することもありますが、広義には同じものです。

[9] 俗に、パスワードを省略してパス (pass) ということがあります。 プロトコル要素などとしてもこの省略形が用いられることがあります。 文脈上曖昧な場合や、砕けた場面以外においては、省略せずパスワードと呼ぶべきです。

[10] 4文字で短くて入力しやすく、対になる利用者の意の「user」と桁数が揃うのが 「pass」の利点です。
[12] 片仮名表記のパスは、経路 (path) などと綴りが衝突してかなり不便です。

[11] 秘密の質問は、事実上パスワード (パスフレーズ) として機能するものですが、 パスワードの代替となるものであるため、パスワードとは呼ばずに区別するのが普通です。

[14] RFC 7613 における「合言葉 (password) 」 は、 (word) に限らず、 複数ので構成されたり、 間隔句読点、その他英数字以外で区切られていたりするものも含む >>13 とされています。

プロトコル要素

[4] 次の各項目も参照してください。

利用者インターフェイス

パスワードの排除

[15] 利用する場面にもよりますが、基本的には、パスワードは使うべきではなく、 脆弱性であると考えるべきです。

[16] パスワードは、人間の記憶力に依存するため複雑化しにくく、 スマートフォンATM などのタッチパネルなど複雑な文字列の入力が難しい装置を使う場合に短く単純なものが好まれがちであるなど、 辞書攻撃などに脆弱であるのみならず、ソーシャルハッキングにも弱いものです。 更に、そうした脆弱性への対策から、大文字と小文字、数字や記号を混在させることが強制されたり、 定期的に変更することが要求されたりと、利用者の体験もよくありません。

[17] 次のような代替手段を利用することを検討するべきです。

メモ

[1] Twitterで使ってはいけない370のパスワード ( 版) http://jp.techcrunch.com/archives/20091227twitter-banned-passwords/

[18] 【やじうまWatch】「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ - INTERNET Watch (株式会社インプレス著, ) http://internet.watch.impress.co.jp/docs/yajiuma/1007177.html

[19] 日産レンタカーWebサイトでメールアドレスと氏名、電話番号から生パスワードを取得できる問題が見つかる | スラド セキュリティ () https://security.srad.jp/story/17/04/13/0619224/

[20] Yahoo! JAPAN各サービスで、パスワードを使わないログイン方法の導入を開始 / プレスルーム - ヤフー株式会社 () https://about.yahoo.co.jp/pr/release/2017/04/20a/

今回導入を開始するのは、スマートフォンなどのSMS(ショートメッセージサービス)を使って本人確認を取るログイン方法です。

[21] RFC 7518 - JSON Web Algorithms (JWA), https://tools.ietf.org/html/rfc7518#section-8.8

[22] RFC 7518 - JSON Web Algorithms (JWA), https://tools.ietf.org/html/rfc7518#section-9

[23] 生年月日をパスワードにするよう指定 子育て支援サイトが話題 パスに認証以外の役割があった - ITmedia NEWS () https://www.itmedia.co.jp/news/articles/2111/25/news174.html

同サイトのサービスは12歳になって最初の3月31日以降に使えなくなるが、有効期限を判定するためにパスワードを参照する仕組みにしている。メールアドレスと生年月日以外に扱う個人情報が無いためこのような実装になったという。

[24] 設計が狂気すぎるし、 神奈川県という地方公共団体運営のWebサイトなのに元号年の入力を許さず西暦年を強制するのは信教の自由に反し違憲疑いまである