Drupal超初心者ですが、
「ゆる〜くてOK」という言葉を信じて、書いてみます。
今回のテーマは、「Drupalのパスワード強度チェッカー」です。
先日、関西オープンフォーラム(KOF)のDrupalのハンズオンセッションに参加して、初めてDrupal8のインストールを体験することができました。
その時に、パスワードを設定する画面があったのですが、そこのユーザーインターフェイスがとても親切で良いと思いました。
私が知っているパスワード強度チェックは、だいたいパスワードの強度が「弱い」とか「普通」とか「高い」とかいう程度のメッセージが表示される程度で、なぜそういう判定なのか、については教えてくれないことが多かったです。
この場合、いじわるな先輩に教えを請う後輩のような気分になります。
しかし、このDrupal8のパスワード強度チェッカーは、どうやれば強固なパスワードにすることができるかを、リアルタイムで表示してくれます。とても親切!
しかも、それを達成すると、その指摘がひとつずつ消えていってくれるので、思わず、全部制覇してスッキリしたくなるような効果もあるように思います。
責任範囲を明確にする、という観点からすると、そもそもパスワードをしっかり設定するのは自分自身で責任をもって行うことであり、自分が設定したパスワードの強度が弱くて乗っ取られるなどの被害にあったとしても、その責任が完全にその人個人の範囲内、ということで済むのであれば、こういったおせっかい機能は不要、というような考え方もあるかと思います。
しかし、ある人が弱いパスワードを設定したことに起因することが、その人以外にも影響がでてくると、そうもいっていられなくなるのではないかと思います。例えば、典型的なシチュエーションとしては、会社で、個人が設定する自分のパスワードが脆弱で、それが原因で情報漏洩などがおこってしまうと、場合によってはその影響は会社全体に及ぶ可能性があると思います。なので、パスワードを強制的に定期的に変更させるなどの方法で、脆弱なパスワードが設定される等のリスクを減らすための指示をしてくるのではないかと思います。
Drupal8の場合は、あまりそういった直接の影響はないようには思いますが、乗っ取られる人が多いと、Drupal8の評判が落ちるとか、乗っ取られるケースが増えると、インターネット全体がより危険な場所になってしまう、といった社会的責任の観点から、こういった機能を用意しているのではないかと思います。
利用者を親切に案内し、さらに、より強度の高いパスワードを設定したくなるような仕掛けがあるDrupal8。すばらしいと思いました。
しかし、パスワード管理、どんどん大変になってきてますよね。同じパスワードをつかっちゃだめとか、12文字以上とか、ホント大変です。
さらに今後、パスワードは32文字以上だ、いや64文字以上じゃないと安心できない、とか、記号も必須だ、強度が最強でないと設定してはダメ、とかなってくると、いよいよ本格的に、パスワード以外の方法に移行したいですよね。。。