会員登録制サイトでパスワードはユーザーに自分で登録させるか、自動発行か？

会員登録制のサイトのWebシステム開発においてパスワードの仕様設計は非常に重要な要素です。

まず大前提として、パスワードはユーザーに入力させるべきなのでしょうか、それとも自動発行させるべきなのでしょうか？以下まとめたいと思います。

結論から言うと、基本はパスワードは自動発行にするべきです。

どうしてかというと、ユーザーがパスワードを自分で入力させるようにすると、相当高確率でそのパスワードをユーザーが使い回す可能性があるからです。結果、サイト主催者がとばっちりを受けるリスクが格段に上がります。

ユーザーがパスワードを自由に登録できると、サイト運営者にとって何が問題になるのでしょう。

例えば弊社で開発した某お客様の会員制Webサイトに、以前こんなユーザーからのクレームが届いた事があります。勿論実例です。

「ある日突然自分のメールアドレスにスパムメールが届きだした。このメアドはこの会員登録サイトでしか使ってない。なのでここから漏洩したに違いない！」（実話）

 

・・・知らんがな。

当たり前ですが、「漏れてない事を証明する」「問題のない事を証明する」というのは「悪魔の証明」です。何も起きてないことを証明するのは極めて困難です。

また先のエントリーにも書きましたが、人は忘れる生き物です。実際は他のサイトでもそのメールアドレスを実は使っている可能性がありますし、また、結果的に他のサイトで漏れた場合、こちらも「巻き添え」を食ってしまう事にもなります。

そういうリスクを可能な限り潰す、という意味でも、パスワードは自動発行にした方が、会員制サイトの運営においてはより無難で安全と言えるでしょう。