UX / UI のデザインに強いWebシステムの開発と、BtoB Webマーケを支援するWeb制作を提供する
N's Creates (エヌズクリエイツ) 株式会社 フロントエンドエンジニアの齋藤 (@31mskz10) です。

ノートアプリのNotionでは、デフォルトで「マジックリンク」という機能が有効になっていて、ユーザーはNotionのログイン時にパスワードを使わないようになっています（設定で「メールアドレス」と「パスワード」を使った方法に変更可能）。

最近「パスワード流出」や「不正アクセス」など、パスワードに関連するセキュリティの問題をよく聞きます。

ユーザーにアカウント登録させるときに、そもそも「パスワード登録をさせる」というのはベストな方法なのでしょうか？
Notionの仕組みなどを交えつつ、考えてみます。

パスワードの問題点

下の画像は、パスワードの長さや使う文字種と、総当たりでパスワードを当てるまでに必要になる時間をまとめた画像です。

How long does it take to crack your password? — Response IT – IT Support Surrey/London

ここから分かる通り、「記号を使わないのは論外」「パスワードは15文字以上が安全」です。

さらに、パスワードの使い回しはよくありません。
1つのサイトでパスワードがバレてしまうと、他のサイトでも同じメールアドレスとパスワードを試されてログインされてしまうからです。

そうなってくると、1Passwordなどのパスワード管理アプリは必須になりますし、「人間が記憶できるレベルのパスワードは危険」という結論になります。

ある程度ITリテラシーの高い人であればパスワード管理アプリを使って、パスワードもしっかりランダムなものになっていると思いますが、一般の人でそこまでしている人はいったいどれくらいいるのでしょうか？

• 名前 + 誕生日
• 記号を使わない
• 12文字以内

こんなパスワードになっている人が大半なのではないでしょうか？
このことを踏まえると「そもそもユーザーにパスワードを設定させてはいけない」が正解のような気がしてきます。

Notionのマジックリンク

Notionでログインするとき、メールアドレスを入力すると、そのメールアドレス宛てにランダムな英数字のテキストが送られてきます。

それを入力すればログインができます。
ユーザーがパスワードを設定する必要はありませんし、セキュリティ上の問題はクリアできそうです。

パスワードも設定できるように選択肢をあたえる

Notionの良いところは、設定すればパスワードを設定してログインできる点です。

私の場合は1Passwordというパスワード管理アプリを使っていますし、パスワードを設定するときはかなり複雑なパスワードにしています。

そのような場合はパスワードを使ったログインの方が、わざわざメールを開く必要がないのでラクです。

ユーザーに合わせてある程度柔軟に対応しつつも、ITにあまり触れない層に対してはセキュリティを考慮したマジックリンクを使うようにしているのです。

UX / UI のデザインに強いWebシステムの開発と、BtoB Webマーケを支援するWeb制作を提供する
N's Creates 株式会社は、神戸三宮オフィスまで週１出社（それ以外はリモートワーク）できる「デザイナー」「エンジニア」を募集しています。

興味のある方は、カジュアル面談しますので気軽にお問い合わせください！