会員登録制サイトでパスワードは自分で登録させるか、自動発行か？

最終更新日:2020/04/19   公開日:2020/03/06

会員登録制のサイトのWebシステム開発において、パスワードの仕様設計は非常に重要な要素です。

その時、パスワードは、ユーザーに入力させるべきなのでしょうか、それとも自動発行させるべきなのでしょうか？以下まとめたいと思います。

結論から言うと、基本はパスワードは自動発行にするべきです。

どうしてかというと、ユーザーがパスワードを自分で入力させるようにすると、相当高確率でそのパスワードをユーザーが使い回す可能性があるからです。

最近はパスワードを登録して下さい、という仕様にしても、ブラウザが自動でパスワードを生成し、そのままブラウザに記憶もしてくれるので、ユーザーが何もパスワードを意識しなくても済む場合もあります。ただし、この場合、デバイスを変えてしまうと意味がありません。PCではchrome、スマホはiPhoneでSafari、というケースも良くありますので、万能とは言えません。

では、ユーザーがパスワードを使うと、サイト運営者にとって何が問題になるのでしょう。

例えばユーザーからこんなクレームが届く事が起こりえます。

「ある日突然自分のメールアドレスにスパムメールが届きだした。このメアドはこの会員登録サイトでしか使ってない。なのでここから漏洩したに違いない！」（実話）

・・・知らんがな。。

当たり前ですが、「漏れてない事を証明する」「問題のない事を証明する」というのは「悪魔の証明」です。何も起きてないことを証明するのは極めて困難です。

また先のエントリーにも書きましたが、人は忘れる生き物です。実際は他のサイトでもそのメールアドレスを実は使っている可能性がありますし、また、結果的に他のサイトで漏れた場合、こちらも「巻き添え」を食ってしまう事にもなります。

そういうリスクを可能な限り潰す、という意味でも、パスワードは自動発行にした方が、会員制サイトの運営においてはより無難で安全と言えるでしょう。