[3] 合言葉を用いる多くの場面では、その対象者を特定する利用者名 (ユーザー名、 ユーザーID、アカウントなど) や電子メールアドレスなどの識別子と合言葉の組み合わせを認証に使います。 一般的には利用者名等は公開情報で入力欄にもそのまま表示され、 合言葉は非公開情報で入力欄でも隠して表示されるようになっています。
[7] 特に長いことが期待されるものは、パスフレーズともいいます。
[8] 利用者が指定したものをパスワード、認証者側が指定したものをトークンなどと呼んで区別することもありますが、広義には同じものです。
[9] 俗に、パスワードを省略してパスということがあります。 プロトコル要素などとしてもこの省略形が用いられることがあります。 文脈上曖昧な場合や、砕けた場面以外においては、省略せずパスワードと呼ぶべきです。
[11] 秘密の質問は、事実上パスワード (パスフレーズ) として機能するものですが、 パスワードの代替となるものであるため、パスワードとは呼ばずに区別するのが普通です。
[14] RFC 7613 における「合言葉」 は、語に限らず、 複数の語で構成されたり、 間隔、句読点、その他英数字以外で区切られていたりするものも含む >>13 とされています。
[4] 次の各項目も参照してください。
[15] 利用する場面にもよりますが、基本的には、パスワードは使うべきではなく、 脆弱性であると考えるべきです。
[16] パスワードは、人間の記憶力に依存するため複雑化しにくく、 スマートフォンや ATM などのタッチパネルなど複雑な文字列の入力が難しい装置を使う場合に短く単純なものが好まれがちであるなど、 辞書攻撃などに脆弱であるのみならず、ソーシャルハッキングにも弱いものです。 更に、そうした脆弱性への対策から、大文字と小文字、数字や記号を混在させることが強制されたり、 定期的に変更することが要求されたりと、利用者の体験もよくありません。
[17] 次のような代替手段を利用することを検討するべきです。
[1] Twitterで使ってはいけない370のパスワード ( 版) http://jp.techcrunch.com/archives/20091227twitter-banned-passwords/
[18] 【やじうまWatch】「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ - INTERNET Watch (株式会社インプレス著, ) http://internet.watch.impress.co.jp/docs/yajiuma/1007177.html
[19] 日産レンタカーWebサイトでメールアドレスと氏名、電話番号から生パスワードを取得できる問題が見つかる | スラド セキュリティ () https://security.srad.jp/story/17/04/13/0619224/
今回導入を開始するのは、スマートフォンなどのSMS(ショートメッセージサービス)を使って本人確認を取るログイン方法です。
[21] RFC 7518 - JSON Web Algorithms (JWA), https://tools.ietf.org/html/rfc7518#section-8.8
[22] RFC 7518 - JSON Web Algorithms (JWA), https://tools.ietf.org/html/rfc7518#section-9
同サイトのサービスは12歳になって最初の3月31日以降に使えなくなるが、有効期限を判定するためにパスワードを参照する仕組みにしている。メールアドレスと生年月日以外に扱う個人情報が無いためこのような実装になったという。
[24] 設計が狂気すぎるし、 神奈川県という地方公共団体運営のWebサイトなのに元号年の入力を許さず西暦年を強制するのは信教の自由に反し違憲の疑いまである。
user」と桁数が揃うのが 「pass」の利点です。