まずもって、パスワードリストを流通・取引している人、それらを使って不正ログイン・不正アクセスを行う人が悪である。
またIDとパスワードを流出させてしまった事業者や、安全ではないプロトコルでパスワードを流すようなサービスを提供している事業者にも責任がある。
そういった状況の中で、不正ログイン・不正アクセスされる可能性/被害を最小限にするためには、パスワード認証を採用しているサービス毎に複雑で十分な長さの異なるパスワードを使うようにしていくのが各利用者にとって良い対策であるという話であり、そして事業者側も継続的にそうしていただくことをお願いしているというわけである。
「ユーザーがパスワードを使い回しているのが悪い! 変えろ!」という感情であったりはまったく無い。
複雑なパスワードを個別に作って管理するというのはそもそもかなり面倒くさい(当然やっているけれど)。ある一定数以上になったらパスワード管理ツールは必須だし、しかし(一般の人には)どれが良いパスワード管理ツールなのかというのはなかなかわかりにくいし、パスワード管理ツールを使ったら使ったでデータファイルのバックアップやデバイス間の同期をどうするかなども考える必要がでてくるし面倒くさい。
「パスワードをサービス毎に変えてください」というお願いだけでは、ユーザーの方はそうはいってもどうすればいいかわからないし、面倒くさいで終わってしまいやすい。どうしていくのがいいかもきちんと説明していった方がいいのだと思う(そしてもちろん各種不正ログイン・不正アクセスの対策を進めたり、より良い認証方法を検討・導入したりしていく)。
Naney (なにい)です。株式会社ミクシィで SNS 事業の部長をしています。
nDiki は1999年1月に始めたコンピュータ日誌を前身とする Naney の Web 日記(兼パーソナルナレッジベース)です。ちょっとしたノートは nNote にあります。
※内容は個人的見解であり所属組織とは関係ありません。