開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2022/06/07

コピペ禁止、秘密の質問…「最悪なログイン画面」はなぜ撲滅できない?

ECの隆盛やオンラインサービスの伸長などで、Webの入力フォームにメールアドレスやパスワードなどを打ち込む機会が増えている。だが、いまだに「これは本当に意味があるのだろうか」という入力フォームのセキュリティ慣習、あるいは「マナー」が多数存在する。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

photo
Web入力フォームの「慣習」には問題も多い
(Photo/Getty Images)

コピペが使えない入力フォームのUIは正しいのか?

 Webの入力フォームでは、メールアドレスを2回入力させるものがある。打ち間違いによるエラーメールを避けるための施策の1つだ。

 ネット上では、メールアドレスは個人と紐づいたIDとして機能するため、万全を期すために必要な措置として浸透している。メールアドレスの入力欄にタイプミスがあった場合、それで登録できてしまうと個人と結びつかないアカウントができてしまい、修正しようにも誰のアカウントなのか特定できず、連絡も取れなくなるからだ。

 つまり2回入力させることで1回目にタイプミスがあるかどうかを明確にして、間違いを正すわけだ。だが、このとき入力フォームのコピーアンドペースト(コピペ)を禁止して、手入力しかできないようにするフォームも少なからず存在する。

 コピペ禁止にするのは、タイプミスをそのままコピーして2回目の入力に利用させないための措置だ。また、コピーバッファの利用を禁止したり、キーボードイベントを伴わない入力を禁止したりするのは、ボットやマルウェアによる操作対策という意味もある。2回入力させればタイプミスを発見しやすくなる。だが、1回目の入力が正しければ、2回目の手入力は無駄であり、単純にミスを誘発しエラーの確率を高めているだけともいえる。

 UI設計やシステムのポリシーにもよるが、そもそも手入力はミスの元なので、それを避ける設計が正しいという考え方もある。そもそも最初からコピペ可能にしておけば、アドレス帳などリファレンスとなるものからコピペすることもできるので、2回目の入力はむしろ不要だ。その場合、有効なアドレスかどうかのチェックは正規表現などを利用してある程度のスクリーニングは可能で、入力されたメールに本登録のリンクを送る方式にすれば良い。


コピペ禁止はセキュリティ上の問題を含む

画像
パスワード入力フォームではコピペが禁止されている場合もあるが……
(Photo/Getty Images)

 コピペ禁止問題は、パスワード入力フォームでさらに深刻で、UIを大きく損なう要因にもなっている。もちろん、セキュリティ的にもマイナス面がある。

 パスワード入力は、当然だがアカウント登録画面、ログイン画面に(ほぼ)必須の作業だ。同時にセキュリティ上の配慮も欠かせない。コピペ禁止のパスワード入力フォームは、ボットによる不正アカウント登録や自動化されたブルートフォース攻撃といった、不正ログインの対策は必要だ。パスワードは、メールアドレスより不正利用された場合の損害が大きいので、コピペ禁止は無駄とも言いきれない。

 しかし、これもセキュリティ対策の視点から否定することが可能だ。

 特にパスワード登録時だが、コピペを禁止するフォームだと、Webブラウザやパスワード管理ソフトが生成してくれる強度の高いパスワードの利用がしにくくなる。自動生成パスワードは、文字数や字種の混在などブルートフォース攻撃への耐性が高い半面、人間が暗記できるようなパスワードではない。結局、タイプしやすい使い回しているパスワードや破られやすいパスワードを増やしてしまう(パスワードの定期変更の弊害も同じである)。

 パスワード入力フォームのコピペ禁止は、セキュリティ対策の上でも無効にしておいてほしいと思う専門家は少なくないはずだ。

【次ページ】「秘密の質問」はむしろ「障害」になる理由

セキュリティ戦略 ジャンルのセミナー

セキュリティ戦略 ジャンルのトピックス

セキュリティ戦略 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!