UX / UI のデザインに強いWebシステムの開発と、BtoB Webマーケを支援するWeb制作を提供する
N's Creates (エヌズクリエイツ) 株式会社 UIコーダー 齋藤 (@31mskz10) です。
ノートアプリのNotionでは、デフォルトで「マジックリンク」という機能が有効になっていて、ユーザーはNotionのログイン時にパスワードを使わないようになっています(設定で「メールアドレス」と「パスワード」を使った方法に変更可能)。
最近「パスワード流出」や「不正アクセス」など、パスワードに関連するセキュリティの問題をよく聞きます。
ユーザーにアカウント登録させるときに、そもそも「パスワード登録をさせる」というのはベストな方法なのでしょうか?
Notionの仕組みなどを交えつつ、考えてみます。
下の画像は、パスワードの長さや使う文字種と、総当たりでパスワードを当てるまでに必要になる時間をまとめた画像です。
How long does it take to crack your password? — Response IT – IT Support Surrey/London
ここから分かる通り、「記号を使わないのは論外」「パスワードは15文字以上が安全」です。
さらに、パスワードの使い回しはよくありません。
1つのサイトでパスワードがバレてしまうと、他のサイトでも同じメールアドレスとパスワードを試されてログインされてしまうからです。
そうなってくると、1Passwordなどのパスワード管理アプリは必須になりますし、「人間が記憶できるレベルのパスワードは危険」という結論になります。
ある程度ITリテラシーの高い人であればパスワード管理アプリを使って、パスワードもしっかりランダムなものになっていると思いますが、一般の人でそこまでしている人はいったいどれくらいいるのでしょうか?
こんなパスワードになっている人が大半なのではないでしょうか?
このことを踏まえると「そもそもユーザーにパスワードを設定させてはいけない」が正解のような気がしてきます。
Notionでログインするとき、メールアドレスを入力すると、そのメールアドレス宛てにランダムな英数字のテキストが送られてきます。
それを入力すればログインができます。
ユーザーがパスワードを設定する必要はありませんし、セキュリティ上の問題はクリアできそうです。
Notionの良いところは、設定すればパスワードを設定してログインできる点です。
私の場合は1Passwordというパスワード管理アプリを使っていますし、パスワードを設定するときはかなり複雑なパスワードにしています。
そのような場合はパスワードを使ったログインの方が、わざわざメールを開く必要がないのでラクです。
ユーザーに合わせてある程度柔軟に対応しつつも、ITにあまり触れない層に対してはセキュリティを考慮したマジックリンクを使うようにしているのです。
UX / UI のデザインに強いWebシステムの開発と、BtoB Webマーケを支援するWeb制作を提供する
N's Creates 株式会社は、神戸三宮オフィスまで週1出社(それ以外はリモートワーク)できる「デザイナー」「エンジニア」を募集しています。
興味のある方は、カジュアル面談しますので気軽にお問い合わせください!
デザイナー、エンジニア共に募集をしています。
現在は主に開発領域に対して募集しています。
会社案内資料
