パスワードを何度か間違えたときのメッセージ

[Banaslab]

先日、POL（スクエニアカウントと連動）にログインするときにパスワードを
何度か間違えてしまい、ロックがかかってログインできなくなってしまいました。

しかし、エラーメッセージが「パスワードが間違っている」としか表示されなかったため
状況が分からず、何度もパスワードを打ち込んだ挙句、
スクエニアカウントの管理システムにログインしようとしたら
「何度かパスワードを間違えたのでしばらく入れません」
と表示されたため、そこでようやく状況を把握することができました。

現在は確認の仕方が分かりましたが、このエラーメッセージは改善できないでしょうか？

私はアカウントハックされたのではないかと不安になりましたし、
正直無駄な時間を費やしてしまいました。

「スレッド: パスワードが違いますと表示されログインできなくなる問題」
でも同様の状態に陥った人がいましたし、そもそもコンシューマ機でログインしている
人だとスクエニアカウントの管理システムでは確認できません。


それからこれはスクエニアカウントの話なのでここで言うべきことではないかも知れませんが…
スクエニアカウントのログインエラーメッセージは「しばらく入れないので数分待ってからログインしてください」
といった感じのものでしたが、実際にログインできるようになるまで5～10分近くが必要でした。

（世代にもよるようですが）数分というのは2～3分か5～6分など、人によって様々です。
私は2～3分だと解釈したので、しばらくイライラしながらリトライする羽目になりました。

まぁ数分の話といえば数分の話なのですが、最初から○分間入れなくなると
明記していれば他のことでもしつつのんびり待てたのです。

複数回のミスでロックすること自体はセキュリティ上妥当な処置だと思いますが、
メッセージはもっと正確にしてもらえないでしょうか。最初にパスワードを間違えたのは
こちらとはいえ、今回の件ではかなり無駄にイライラした気がします…。

[caran]

システムのエラーメッセージをピンポイントに説明するように表示してしまうと
セキュリティホールになりやすいんです。

例えば
「パスワードが違います」この場合、IDはあっていると認識されてしまいます。
なので「IDもしくはパスワードが違います」とぼかしてメッセージを出すように設計します。

誰にでもわかりやすいエラーメッセージを出すことはシステム的に問題があるのが
現在のシステム設計です。
確かにユーザに対してわかりやすいメッセージを出すことは有用ですが
それ以上にセキュリティホールになるようなメッセージを出すリスクの方が高いと思います。

[Matthaus]

セキュリティに関わるシステムメッセージは、
あえて曖昧にすることによって、狙われにくくする効果があるんですよね。

そのイライラが、ハッキング加害者にも萎えさせる効果があるんですよ。