コピペが使えない入力フォームのUIは正しいのか？

　Webの入力フォームでは、メールアドレスを2回入力させるものがある。打ち間違いによるエラーメールを避けるための施策の1つだ。

　ネット上では、メールアドレスは個人と紐づいたIDとして機能するため、万全を期すために必要な措置として浸透している。メールアドレスの入力欄にタイプミスがあった場合、それで登録できてしまうと個人と結びつかないアカウントができてしまい、修正しようにも誰のアカウントなのか特定できず、連絡も取れなくなるからだ。

　つまり2回入力させることで1回目にタイプミスがあるかどうかを明確にして、間違いを正すわけだ。だが、このとき入力フォームのコピーアンドペースト（コピペ）を禁止して、手入力しかできないようにするフォームも少なからず存在する。

　コピペ禁止にするのは、タイプミスをそのままコピーして2回目の入力に利用させないための措置だ。また、コピーバッファの利用を禁止したり、キーボードイベントを伴わない入力を禁止したりするのは、ボットやマルウェアによる操作対策という意味もある。2回入力させればタイプミスを発見しやすくなる。だが、1回目の入力が正しければ、2回目の手入力は無駄であり、単純にミスを誘発しエラーの確率を高めているだけともいえる。

　UI設計やシステムのポリシーにもよるが、そもそも手入力はミスの元なので、それを避ける設計が正しいという考え方もある。そもそも最初からコピペ可能にしておけば、アドレス帳などリファレンスとなるものからコピペすることもできるので、2回目の入力はむしろ不要だ。その場合、有効なアドレスかどうかのチェックは正規表現などを利用してある程度のスクリーニングは可能で、入力されたメールに本登録のリンクを送る方式にすれば良い。

コピペ禁止はセキュリティ上の問題を含む

　コピペ禁止問題は、パスワード入力フォームでさらに深刻で、UIを大きく損なう要因にもなっている。もちろん、セキュリティ的にもマイナス面がある。

　パスワード入力は、当然だがアカウント登録画面、ログイン画面に（ほぼ）必須の作業だ。同時にセキュリティ上の配慮も欠かせない。コピペ禁止のパスワード入力フォームは、ボットによる不正アカウント登録や自動化されたブルートフォース攻撃といった、不正ログインの対策は必要だ。パスワードは、メールアドレスより不正利用された場合の損害が大きいので、コピペ禁止は無駄とも言いきれない。

　しかし、これもセキュリティ対策の視点から否定することが可能だ。

　特にパスワード登録時だが、コピペを禁止するフォームだと、Webブラウザやパスワード管理ソフトが生成してくれる強度の高いパスワードの利用がしにくくなる。自動生成パスワードは、文字数や字種の混在などブルートフォース攻撃への耐性が高い半面、人間が暗記できるようなパスワードではない。結局、タイプしやすい使い回しているパスワードや破られやすいパスワードを増やしてしまう（パスワードの定期変更の弊害も同じである）。

　パスワード入力フォームのコピペ禁止は、セキュリティ対策の上でも無効にしておいてほしいと思う専門家は少なくないはずだ。

【次ページ】「秘密の質問」はむしろ「障害」になる理由