[2] [DFN[[RUBY[合言葉]@en[パスワード]@en[password]]]]は、[[認証]]のための秘密の[[文字列]]です。 [3] [[合言葉]]を用いる多くの場面では、その対象者を特定する[[利用者名]] ([[ユーザー名]]、 [[ユーザーID]]、[[アカウント]]など) や[[電子メールアドレス]]などの識別子と[[合言葉]]の組み合わせを[[認証]]に使います。 一般的には[[利用者名]]等は公開情報で入力欄にもそのまま表示され、 [[合言葉]]は非公開情報で入力欄でも隠して表示されるようになっています。 * 仕様書 [REFS[ - [13] [CITE@en[RFC 7613 - Preparation, Enforcement, and Comparison of Internationalized Strings Representing Usernames and Passwords]] ([TIME[2015-10-23 06:11:01 +09:00]] 版) ]REFS] * 呼称 [6] 一般的には[[パスワード]]と呼ばれます。 [5] 専ら[[数字]]で構成されるものは[[暗証番号]]ともいいます。 [7] 特に長いことが期待されるものは、[DFN[[RUBYB[パスフレーズ]@en[passphrase]]]]ともいいます。 [8] [[利用者]]が指定したものを[[パスワード]]、[[認証]]者側が指定したものを[[トークン]]などと呼んで区別することもありますが、広義には同じものです。 [9] 俗に、[[パスワード]]を省略して[DFN[[RUBYB[[[パス]]]@en[pass]]]]ということがあります。 [[プロトコル要素]]などとしてもこの省略形が用いられることがあります。 文脈上曖昧な場合や、砕けた場面以外においては、省略せず[[パスワード]]と呼ぶべきです。 ;; [10] 4文字で短くて入力しやすく、対になる[[利用者]]の意の「[CODE[user]]」と桁数が揃うのが 「[CODE[pass]]」の利点です。 ;; [12] [[片仮名]]表記の[[パス]]は、[[経路]] ([[path]]) などと[[綴り]]が衝突してかなり不便です。 [11] [[秘密の質問]]は、事実上[[パスワード]] ([[パスフレーズ]]) として機能するものですが、 [[パスワード]]の代替となるものであるため、[[パスワード]]とは呼ばずに区別するのが普通です。 [14] [[RFC 7613]] における「[RUBYB[合言葉]@en[password]]」 は、[RUBYB[[[語]]]@en[word]]に限らず、 複数の[[語]]で構成されたり、 [[間隔]]、[[句読点]]、その他[[英数字]]以外で区切られていたりするものも含む [SRC[>>13]] とされています。 * プロトコル要素 [4] 次の各項目も参照してください。 [FIG(short list)[ - [[credentials]] - [[基本認証]] - [[ダイジェスト認証]] - [CODE(HTTP)@en[[[Bearer]]]] - [[WSSE認証]] - [[資源所有者合言葉credentials]] - [[xAuth]] - [CODE(HTML)@en[[[]]]] - [[登記識別情報]] - [[合言葉 (PRECIS)]] ]FIG] * 利用者インターフェイス [FIG(short list)[ - [[password manager]] ]FIG] * パスワードの排除 [15] 利用する場面にもよりますが、基本的には、[[パスワード]]は使うべきではなく、 [[脆弱性]]であると考えるべきです。 [16] [[パスワード]]は、[[人間]]の記憶力に依存するため複雑化しにくく、 [[スマートフォン]]や [[ATM]] などの[[タッチパネル]]など複雑な文字列の入力が難しい[[装置]]を使う場合に短く単純なものが好まれがちであるなど、 [[辞書攻撃]]などに脆弱であるのみならず、[[ソーシャルハッキング]]にも弱いものです。 更に、そうした脆弱性への対策から、大文字と小文字、数字や記号を混在させることが強制されたり、 定期的に変更することが要求されたりと、[[利用者]]の体験もよくありません。 [17] 次のような代替手段を利用することを検討するべきです。 [FIG(short list)[ - [[OAuth認証]] - [[ワンタイムパスワード]] - [[セキュリティートークン]] ]FIG] * メモ [1] [CITE@ja[Twitterで使ってはいけない370のパスワード]] ([TIME[2009-12-29 00:14:19 +09:00]] 版) [18] [CITE@ja[【やじうまWatch】「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ - INTERNET Watch]] ([[株式会社インプレス]]著, [TIME[2016-06-27 11:58:22 +09:00]]) [19] [CITE@ja[日産レンタカーWebサイトでメールアドレスと氏名、電話番号から生パスワードを取得できる問題が見つかる | スラド セキュリティ]] ([TIME[2017-04-14 00:30:19 +09:00]]) [FIG(quote)[ [FIGCAPTION[ [20] [CITE@ja[Yahoo! JAPAN各サービスで、パスワードを使わないログイン方法の導入を開始 / プレスルーム - ヤフー株式会社]] ([TIME[2017-04-21 12:13:10 +09:00]]) ]FIGCAPTION] > 今回導入を開始するのは、スマートフォンなどのSMS(ショートメッセージサービス)を使って本人確認を取るログイン方法です。 ]FIG] [21] [CITE@en[RFC 7518 - JSON Web Algorithms (JWA)]], [TIME[2019-11-27 04:11:14 +09:00]] [22] [CITE@en[RFC 7518 - JSON Web Algorithms (JWA)]], [TIME[2019-11-27 04:11:14 +09:00]] [FIG(quote)[ [FIGCAPTION[ [23] [CITE@ja[生年月日をパスワードにするよう指定 子育て支援サイトが話題 パスに認証以外の役割があった - ITmedia NEWS]] ([TIME[2021-11-26T02:59:16.000Z]]) ]FIGCAPTION] > 同サイトのサービスは12歳になって最初の3月31日以降に使えなくなるが、有効期限を判定するためにパスワードを参照する仕組みにしている。メールアドレスと生年月日以外に扱う個人情報が無いためこのような実装になったという。 ]FIG] [24] 設計が狂気すぎるし、 [[神奈川県]]という[[地方公共団体]]運営の[[Webサイト]]なのに[[元号年]]の入力を許さず[[西暦年]]を強制するのは[[信教の自由]]に反し[[違憲]]の[[疑いまである][昭和の元号危機]]。 - [26] [CITE@ja[Xユーザーのnkayさん: 「国土地理院のサイト、リニューアルしてから無限に新規登録しても全くログインできない」 / X]], [TIME[午前10:32 · 2025年4月11日][2025-04-11T01:32:05.000Z]], [TIME[2025-04-18T06:00:11.000Z]] -- [25] [CITE@ja[Xユーザーのnkayさん: 「国土地理院のサイトにログインできない理由がわかった。 パスワードには本来半角英数字しか使えないが、それ以外の一部の文字(自分が使用していたのは%や#など)を入れても登録ができてしまう。そしてログインはできない。 パスワードを半角英数字のみにして登録したらログインできるようになった。」 / X]], [TIME[午後8:21 · 2025年4月17日][2025-04-17T11:21:24.000Z]], [TIME[2025-04-18T06:00:11.000Z]] [27] [[国土地理院]]が外れ業者を引いたときいて