[BADUI] 「もっと安全なパスワードを入力してください」の安全なものとは？

事例

とあるウェブサービスのアカウントの初期設定をしていたときのこと、新規パスワード設定画面で、下記のようなメッセージが表示されました。

2度ほどパスワードを入力してみましたが、同じようにこのメッセージが表示され、最後はパスワード生成サイトで作ったパスワードを入力してなんとか乗り切りました。

何がダメだった？

名前とか誕生日とか、単純なパスワードを入力する人は多いですので、安全なパスワードを入力してもらいたい気持ちはわかります。ただ、このサイトでは何をもって安全なパスワードと考えているのかという、安全なパスワードの基準が示されていないので、ユーザは困ってしまいます。

また、新しいパスワードを設定する際に、確認のため2回入力を要求されますが、2回正確に入力して送信したあとに、「もっと安全なパスワードを入力して下さい」と要求するのはちょっとやさしくないです。ちなみに、私は安全なパスワードを入力してたのに2回目に入力したパスワードが間違ってて、そこで怒られてしまいました。

学べること

パスワードをなんとかしたい気持ちはわかりますが、このように手がかりがないと困ってしまいます。

安全なパスワードを入力してほしいのであれば、どのような文字の組み合わせ（大文字小文字必須や記号必須など）は表示するべきでしょうし、現在入力しているパスワードが安全かどうかを、入力中に提示する仕組みを導入するとそこで試行錯誤できるので良いと思います（ちなみに色々と必要なキーを要求しときながら、実際のログイン画面でその情報を出さないサイトは苦手です）。

まぁ、何かを要求するのであれば、適切な手がかりを要求しないといけないよというお話でした。

ちなみに、私は年に1～2回しか使わないサイトとか、もう諦めて毎回「パスワードを忘れた」で新しいパスワードを発行しています。