「パスワードを隠すのをやめよう?」へのコメント
「水無月ばけらのえび日記 : パスワードを隠すのをやめよう?」について、4件のコメントが書かれています。
[5496] Re:「パスワードを隠すのをやめよう?」
えむけい (2009年7月4日 12時11分)
> 現状では、パスワードに日本語の文字を使用できるケースはほとんどないと思いますが、それはパスワード入力欄に日本語の文字を入力することが困難だからでもあるでしょう。マスキングをやめれば、日本語の文字を含むパスワードを使用できるようになり、パスワードの強度は大幅に上がるはずです。
パスワードをIMEが学習するのをどう阻止するかという大きな問題があります。最近のIMEには予測入力なんて機能もありますから最初の数文字がたまたま一致するものをタイプしただけでパスワードがだだ漏れ、という可能性すらあります。IMEのユーザー辞書はふつうそこまで機密性が高いものとはみなされていませんから直接読み取るという手もありますし。
また最近はWebブラウザの入力欄にも自動補完の機能があります。Webブラウザの場合<input type="password">な入力欄のみ暗号化して記録したり、クリックしただけでは候補が出ないようにしたりと他とは違う記憶のさせ方をしていることが多いですが、マスキングをやめるためだけにtype="password"以外のものをパスワード入力で使うようにしたらエラいことになるかもしれません。type="password"のままマスキングを解除する機能などが標準化されない限り、ちょっと危険すぎると思います。
安易にマスキングをやめて日本語パスワードを採用するところがゾロゾロ現れたらちょっとしゃれにならないのでいちおう注意を喚起しておきます。
> XFormsではわざとリセットボタンを作りにくくした (www.w3.org)なんて話もあります。
XFormsは終了のお知らせに含まれていないのですね。
[5497] Re:「パスワードを隠すのをやめよう?」
ばけら (2009年7月4日 22時21分)
>パスワードをIMEが学習するのをどう阻止するかという大きな問題があります。
>また最近はWebブラウザの入力欄にも自動補完の機能があります。
要するに <input type="text"> で入力させたらアカンということですよね。確かに。
ユーザーの意思でマスキングを外すという話も含めて、どちらかというとブラウザ側の改善の話を想定していました。
[5499] Re:「パスワードを隠すのをやめよう?」
みつかさ (2009年7月6日 18時23分)
> たとえば秀丸メールでは、パスワード入力欄の横に「見ながら入力」というボタンがあって、
Shurikenにも同様の機能あるけど、あえて秀丸メールの名前だしたのは、やっぱり知名度の差……?
まぁ、Shurikenがマイナーなのは確定的に明らかなんだけどね。
[5500] Re:「パスワードを隠すのをやめよう?」
ばけら (2009年7月6日 20時57分)
>Shurikenにも同様の機能あるけど、あえて秀丸メールの名前だしたのは、やっぱり知名度の差……?
単に私が最近のShurikenを使っていないからです……。orz
「水無月ばけらのえび日記 : パスワードを隠すのをやめよう?」についてコメントを書く場合は、以下のフォームに記入してください。
