コピペ禁止、秘密の質問…「最悪なログイン画面」はなぜ撲滅できない?
コメント
注目のコメント
コピペを禁止するフォームや秘密の質問、リカバリーのプロセスなど、UIUXとセキュリティ同時に「改悪」になっているケースは散見されます。
最近遭遇した中でSkypeは特に酷かったような。。。
なお、「うわ、このUXないな」と思ったら一回twitterを検索してみるのですが、そうすると全世界でも苦労を強いられたユーザーがいるんだなぁ…としみじみします。秘密の質問。
自分でも稀に忘れることがあります。
確かに、ペットの名前や自分の好きな果物など、情報には具体化されていないが覚えていることはいくつもあります。どこかにメモしておけばいい、ということですが、それだと秘密の質問として成り立たなくなるような気がしています。
対策としては、ちゃんとデータとして残っているが、あまり関連性のないもの、以下のようなもので代替できるかと思われます。
・去年のX月XX日にいった商業施設の名前は?
・Amazonで今年始めて買ったものの名前は?個人的にメールアドレスを初回登録する時はコピペ禁止にして2回入力させるのは妥当だと思いますけどね。
タイポするでしょ、普通に。本人は正しいつもりで打ってるので二度と同じ間違いでログイン不能だしメールアドレス更新もできない。
そして自動入力ログインが効いていつまでも気づけない。
正規表現で何とかするとか夢物語だと思いますが。@マークがあるか、ドメインにドットがあるかくらい以外に何を見ろと...。
そもそもタイポするのはco.jpみたいな簡単な所じゃないでしょ。最近はスマホで打つのも当たり前なのにミスらないわけがない。
パスワードのコピペはさせれば良いのでは?
今時パスワード管理ソフトを使うのは普通なのでコピペさせなきゃ不便すぎるし。
コピペ禁止がボット対策になるとは1ミリも思えないんですよね。botで自動入力する時ってコピーバッファ使わないですよね?botはプログラムそのものなのだから、フォームにデータベースとかから取ってきた文字列を変数に格納してる状態で、そのままその変数の内容を入れるだけだと思いますけど。なぜわざわざ一度コピーバッファに入れるのでしょう?
秘密の質問は、特に二要素認証が普及する前まではそんなに悪い方法じゃ無いと思うんですが、運用方法がトンデモなんだと思います。
アカウント登録時に秘密の質問を5,6択くらいの中から選ばせてその答えを入力させてる。そして認証時は質問を選ばせて答えも一致させなければならない。
あのね、それは秘密の質問じゃなくも、登録時の何選んだか思い出せとかハードル高すぎでしょ。好きな数字とかならまだしも選択肢は自分が準備したものじゃないので特別な思い入れがあるわけでもない。質問に答えるのが本人じゃないと難しいんじゃなくて、質問を選ぶのが本人でも難しい。
しかも入力方法を縛ってないので、平仮名カタカナ漢字ローマ字などなど何でもいけて「一年一組」なのか「1-1」なのか表記揺れの問題もあるし、「ABC小学校」と書いたか「ABC」と書いたかなんて覚えてない。
これならパスワードをもう1つ入力させた方がまだマシ。
運用するなら文字種別を絞った上で選択肢全てに回答を入力させて、認証時はランダムに1つまたは複数答えさせるくらいやって欲しい。