全くの素人なので，そのようにしたい理由すら想像しかねますが…

例えば，「パスワードを３つ設定できて，認証時にはどれでもOKですよ」という話だとしたら，
それは通常の３倍脆弱（破られやすい）ということになりませんか？
（そもそも何のためにパスワードがあるのか，ということを考えると，「良くない」方向に向かっていると思う）

そういうことではなくて「３つのパスワードすべてを入力しないとダメです」という話だとしたら，
「入力がやたらと面倒」になると思いますし，
「それは長いパスワード１つじゃダメなのか？（ {A,B,C} を順不同で入力　よりも　"A+B+C" という並び順が強制された方が強い(?)のでは）」とか…

ChatGPTの回答

Webシステムで一つのIDに対して複数のパスワードを設定できるようにする仕様は妥当ですか？

一つのIDに対して複数のパスワードを設定できる仕様は、一般的には妥当ではありません。一つのIDに対して複数のパスワードを設定できる場合、セキュリティ上のリスクが増加する可能性があります。

例えば、パスワードを忘れた場合、どのパスワードでログインすればいいのか混乱する可能性があります。また、一つのIDに対して複数のパスワードが存在すると、不正アクセスを受けた場合に、どのパスワードが漏洩したのか特定することが困難になります。

そのため、一つのIDに対して複数のパスワードを設定する代わりに、セキュリティのレベルを上げるために、強力なパスワードポリシーを導入し、パスワードの定期的な変更や二要素認証を実装することを検討することが望ましいです。

セキュリティリスクが増すのはわかります
そもそも今時個人IDに総当たりなんて手法使われるんですか？
サーバーに侵入して暗号化を解読さえすれば終わりでは？
そう考えたら、登録者が複数PWを設定できたほうがメリットありませんか？

一般的な回答に対してその概念をぶち壊せるならぶち壊したいと思い質問しています

それとChatGPTの回答によるはありなんですか？
何か運営が発信してたと思いますが
危惧された状況になっていませんか？

そう考えたら、登録者が複数PWを設定できたほうがメリットありませんか？

認識のすり合わせのために、ユーザーサイドが２つめ以降のPW設定をどのタイミングで行う想定かお聞きしてもいいですか？

新規登録時に２つ以上まとめて登録しておく？１つ目のPW忘れた時に２つ目追加して、以後どっちのPWでもはいれるようにする？

新規登録時にいくつでも追加できる仕様です

＞１つ目のPW忘れた時に２つ目追加して、以後どっちのPWでもはいれるようにする？

1IDに対して100個のPWでも1000個のPWでもあとからでも初回時でも追加できるとします

素人意見です。
既存の仕組みだとロールやグループなどで代用できそうな話にも思えますね。

仕組み的には個々のパスワードを区別する方法が困難な気がします。PW1に何を設定していて、PW2に何を設定しているのか、分からなくなり、忘れてしまうと個別の削除や編集などが困難、というのと、万一ハッシュが一致したときに複数のPWを区別できなくなる点に何らかの対処が必要そうな気がします。

これらの仕様のサイトは見たことがありませんが、

三井住友カードの利用者向けサイトVpassが、「一人で複数三井住友カードを持っている人は、ID１つで、カード毎に異なるパスワード」という仕様ですね。どのパスワードを入れたかで異なるカードのページになる。
統合してパスワード1つにすることも可能だったはず。

そう考えたら、登録者が複数PWを設定できたほうがメリットありませんか？

どんなメリットがあるんでしょうか？

＞どんなメリットがあるんでしょうか？
どうせサーバーに侵入さて暗号化解読されたらご愁傷様なら、
ユーザーにとって複数PW設定させたほうが、「パスワードを忘れた」事が減ると思いますが？

あと何を警戒されてるんですか？
フォームからの総当たりですか？
google captchaでもなんでもつかえばいいのでは？
つまるところ
リスクが増すとかいってるけどサーバー侵入して暗号化解除されたら終わりでは？

ユーザーにとって複数PW設定させたほうが、「パスワードを忘れた」事が減ると思いますが？

たかだかそのために取る構造としては、作る側のみならずユーザー側にとっても必要以上に複雑化する、というのが自分としての感覚です。

新規登録時にいくつでも追加できる仕様です

つまり、自分でどれか一つでも覚えていればログインできるように、忘れるリスクを低減するため、という認識でしょうか。

だとするならば個人的には反対です。パスワードリスト攻撃に対する脆弱性リスクが高すぎます。

IPAの2021年度の報告によるとユーザーの4-5割はパスワードを使いまわしているという調査結果が出ています。
PWの定期更新の危険性についても記憶に新しいですが、１サイトに設定するパスワードが増えるということはそれだけ使いまわされる確率が高くなるということです。１サイト１つの現状ですらこのような結果なのですから、複数設定するとなればさらに高くなるでしょうし、それで面倒になって短いパスワードなどを設定してしまっては悲惨です。

そんなリスクを抱えるくらいならば、googleのパスワード保存機能を利用してそもそも覚えなくてよくするか忘れても再設定のフォローを充実させた方がいいと判断します。

＞だとするならば個人的には反対です。パスワードリスト攻撃に対する脆弱性リスクが高すぎます。

これはなんですか？リスト型アタックですか？
こんなのもう大昔だと思うんですけど？
サーバーに侵入して暗号化アルゴリズムを解読すれば〇〇アタックとか関係なくすべて終わるのでは？
つまり色々危惧してるが、暗号化解かれたら全滅でしょ。

リスト型アタックなんて文字生成よりちょいマシレベルでしょ？
そんなのいくらでも防ぎようがありませんか？

それに、使いまわすパスワードを複数設定するということは、そのサイトから情報を抜かれた時に同じパスワードを設定している他のサイトにも不正ログインされるということでもあります。

確かに鯖攻撃はユーザーからはどうしようもありませんが、パスワードを複数設定するということはそのリスクが数倍になるということです。

今現在でも普通に手段の一つとして使われている手法ですが、なぜ古い・もう使われていないと断言するのですか？

サーバーに侵入して暗号化アルゴリズムを解読すれば〇〇アタックとか関係なくすべて終わるのでは？

その前提で話を進めるのであれば、「どんなセキュリティ対策も無意味」ということになってしまいます。なら、パスワードを掛けることすら無意味、という結論となるのですが、それでいいのでしょうか？

＞その前提で話を進めるのであれば、「どんなセキュリティ対策も無意味」ということになってしまいます。なら、パスワードを掛けることすら無意味、という結論となるのですが、それでいいのでしょうか？

ですから利便性を優先すればってお話なんですけど？

＞そのサイトから情報を抜かれた時に同じパスワードを設定している他のサイトにも不正ログインされる

それはどういうあれで抜かれるのか知りませんが、クロスドメイン制約がある中で他サイトをつなげる何かがあるんですか？何か見えてるんでしょうか？

ですから利便性を優先すればってお話なんですけど？

利便性を考えれば、パスワードなしのほうが便利です。

クロスドメイン制約がある中で他サイトをつなげる何かがあるんですか？

ただ単に、「他のサイトへ漏洩したパスワードでログインする」というだけの話です。クロスドメインとかサイト連携とか、そういったことは全く無関係です。

リスト型アタックなんて文字生成ですよね？

どこかのとあるサイトから流出したIDとパスワードの一覧を使った攻撃ですよ。

もしかして、総当たり攻撃のことを言ってますか？

＞利便性を考えれば、パスワードなしのほうが便利です。

はい逃げ乙
お疲れ

＞リスト型アタックなんて文字生成ですよね？
いや、そうじゃなくて、それに＋アルファしたレベルって話ですよ
対策次第でこんな古代的なものいくらでも防げる。

＞他のサイトへ漏洩したパスワードでログインする
確率的にメチャクチャ低いのか、高いのか知らないけど
そんなアフォな例出されてもちょっと

はい逃げ乙

そのとおりです。リスクの管理手法の１つとして、リスクの回避も存在します。

「サーバー侵入して暗号化解除されたら」というリスクが許容できないのであれば、「そもそもサービスを行わない」のすら合理的な選択肢となりえます。

というように、見込むリスクとそれへの対策というのは、常にセットで考えなければならないものです。
qtyutyさんの受け答えを見ていると、そのバランスが明らかに取れていないです。

そんなアフォな例出されてもちょっと

残念ながら、「そんなアフォ」だらけなのが現実のインターネットなのです。警察ですら呼びかけを行う程度には問題となっています。

＞「サーバー侵入して暗号化解除されたら」というリスクが許容できないのであれば、「そもそもサービスを行わない」のすら合理的な選択肢となりえます。

おいおい、そりゃねえだろうよ、どうせ抜かれる時は抜かれて終わるなら利便性優先すればって簡単な質問だ。抜かれたら終わるんだろ、わかってんだろ？あんたもｗ
リスクが増すから～だのなんだの言わずに頭切り替えて答え出せたら、お前も一つは成長できてただろうにｗ

見苦しいぞお前、サーバー侵入されたら終わりだってわかってんなら　所詮すべてが小手先にすぎない。
つまり俺は小手先の小細工と口答えすんなっつってんの。
わからんのや？
頭ほぐしてこい

利便性優先すればって簡単な質問だ。

自分の感覚としては、ユーザーにとっては利便性どころか、複雑な印象を抱かせるデメリットすら生む機能だと考えています。

アイデアそのものを頭ごなしに否定しちゃうと新しいアイデアが生まれにくい土壌が定着してしまいます。
一方で1つのアイデアに固執しちゃうと、そこから離れた新しいアイデアやその改良が生まれにくくなります。
よく吟味して、いいところと悪いところ万遍なく、偏らないように意見交換できるといいですね。

例えばパスワードを頻繁に変え、過去のパスワードは一定期間使用できなくする場合、現実的には事前に決めたルールや固定のコレクションをリングにして使う程度の運用にすると思うのですが、そうした際に複数パスワードならそのコレクションを全て設定することにより、それを部分的、擬似的に実現できる(例えばランダムな任意の1つを使用不可として、2つ以上正解を通過の条件にするとか)かもしれません。

もしそんなのが許容されて効果があるなら(あくまで例です)、フィッシング詐欺の機会を減らすことくらいはできるかもしれませんね。OTPとか別のサービスのアカウントで認証するとかが一般的な現代ですが、ケースバイケースで部分的に使用可能な手持ちのアイデアはいくつあってもいいような気がします。

パスワード変更時に過去のパスワードを削除するか使えないようにすれば問題ない気がします。

質問内容に関係のない回答?
そうですか？

#33
それは結局のところパスワードの再設定機能な訳でして。。。

利便性という面ならわざわざリスク冒してまで複数パスワードにしなくても再設定しやすいフォロー体制（再設定のためにメール送信したり遷移したりするのを少なくする）を充実すればいいのでは？というのが私の意見ですね
当然なりすましでパスワード再設定できないように秘密の質問のような本人確認の手段は必要ですが

会員登録サイトで一つのidに対し複数のパスワードを設定できる仕様は邪道ですか？

それぞれのパスワードが十分に強度のあるものであれば大きな問題は無いかなと思いますよ。
具体的には、そのシステムに要求される安全性を担保するのに十分な桁とパスワードの使い回しを防止できるようなルールで構成されているなら、
リスト攻撃や総当たり攻撃を受けた際のリスクがn倍になろうが人力で設定できる範囲なら許容できる範囲の確率に収められる気がします。

その辺を定義出来ないのであれば、安全な方に振っておくのが無難でしょうね。

一方で、

これらの仕様のサイトは見たことがありませんが、どうなのでしょうか？

については
（許容できる範囲に収まるかどうかは置いておいて）リスクが増えるのは確実なので、そのリスクやコストを上回るメリットを見出す開発者や運営者があんまりいないってだけの話だと思いますよ。
見たことはないですが、存在はしててもおかしくはない仕様だと思います。

個人的には、パスワードを複数設定できるよりは速やかかつ安全に再発行出来る方が便利に感じるので、自分では複数パスワードを実装するメリットがリスクやコストを上回るものとは思えないので実装することは無いと思いますが。

ログイン時の認証とは異なりますが、例えば、銀行が発行する取引暗証番号のマトリクスになっているカードとかがそんな感じじゃないでしょうか？

振り込みなどの取引時に取引パスワードと共に取引暗証番号マトリクスの何行何列目の番号を取引の都度、ランダムで複数尋ねてきて全部合わないと取引を許さないとかですかね。

これは安全性を担保するための一つの方式ですが、一方式単体で考えるよりは組み合わせたりして安全性を高めていく、多要素認証の一実装と考えると良いかと存じます。

要素を増やすと安全性は上がります。
例えばATM利用時ですが、口座番号と暗証番号の組み合わせは知識要素ですが、これにキャッシュカードという所有要素と組み合わせて二要素認証となるわけです。最近あまり見ませんがATMで手のひらで認証なんかやってましたね。あれは生体要素になるわけです。
こんな感じで要素が増えると安全性は高まるわけですが、利用者・運用者からすると要素が増えれば増えるほど面倒になっていき不便と感じる、つまりは利便性が下がるわけですね。

安全性と利便性はトレードオフなので利用者目線、運用者目線、開発者目線、でどんな認証方式をどんな要素で実現するのか、総合的なバランスを考えられると良いかと存じます。

ご検討の一助になりましたら幸いです。

攻撃者目線で書きますけど、もし複数PWの機能が実装されているサイトがあるなら本当にうれしいです。厳しい言葉を使いますが許してください。

攻撃者は今のあなたよりもはるかに狡猾です。
あなたの言う「サーバーに侵入」して「暗号化解除」するなどの強い手法が使えるのであればもちろんそれを使います。しかし，パスワードリストや総当たりなどの古くて時代遅れ(笑)な手法が通じるのであれば，それを使ってアカウントを侵害すればいいだけの話です。攻撃者はきっと「今日の仕事は楽だったな」と笑うことでしょう。

あと、「サーバーに侵入する」ことと、一般ユーザアカウントに不正アクセスすることでは、後者のほうが圧倒的に簡単です。
どうもサーバーに侵入されることだけを異様に恐れてみえるようですが、それ以外も恐れてあげてください。

例えばあるユーザのアカウントにログインしたい攻撃者がいたとします。偶然そのユーザはセキュリティに疎く、複数のサイトでPWを使い回していました。
さっそく攻撃者は作業に取り掛かります。
①パスワードリスト攻撃をする
②1つのidにパスワードがたくさんあるのですぐにログイン成功する
③目的達成！

これで終わりです。べつにサーバーに侵入する必要はありません。

＝
では「サーバーに侵入する」ことに成功してなんでもできる状況になった場合、強い悪意をもった攻撃者はどうするでしょう？

私がそういう攻撃者なら、あなたのサービスを即座に潰します。利便性もクソもない更地に戻します。マルウェアも入れちゃいます。そしてDDoSのボットネットにでも組み込んで傀儡にしちゃいます。あなたがパスワードを変えてもサーバを再起動しても私が手綱を握ったままです。
あなたが然るべき立場にいるなら、サービス停止の責任を取って謝罪しなければなりません。大変ですね。
警察の動きは遅いです。私は後日逮捕されるかもしれませんが、その間にあなたは莫大な損失を被るでしょう。

＞「どうせ抜かれる時は抜かれて終わるなら利便性優先すれば」
どうして「抜かれて終わる」と考えたんですか？　終わりませんよ。

1つのidに複数PWを設定するのは，効果が分からないくらい微々たる利便性向上と引き換えに巨大なセキュリティリスクを抱えるだけのアイデアです。

セキュリティリスクを軽視しないでください。

パスワードの変更をしたいときにどれがどれだかわからなくなる問題はありそうですね

基本的にパスワードはサーバー上ではハッシュを記録して、認証時に入力されたものハッシュと一致するか確認します。なのでパスワードその物は記録しませんし、ユーザー管理ダッシュボード上にはパスワードその物は出てこないのでユーザー自身で管理する必要が出てきます。

○○○○と設定しているパスワードを変えたいけどどれだ...となりそうです
なら、全部変えてしまえ？ならパスワードの再設定を設けるのが適切ですね

他の方が述べてますが、単純に複数のパスワードを許容して認証しやすい状態を作るとメリットよりデメリットの方が多くなってしまいます。
結果として一般的に採用はされないかなと思います。

ただ、パスワードの再設定の機構が設けられない場合なら有効化かと
ユーザーとの連絡手段を持たない物まず見かけませんが、非常な強力な匿名性を出すとかならありかもしれませんが、そういったサービスはID/パスワード認証では無いことも多いです

（良し悪しは別として…）

個人的には，パスワードがわからないときって，
「完全にまったくわからん．想像もつかぬ！」という状態よりも「パスワードはこれに間違いないハズなのに何故か怒られる…Why?」みたいな場合が多い気がします．
なので，利便性という面では，例えば9割方合ってる入力を３種類くらい入れたら，あらかじめ登録していたメールアドレスにでも
「なんかまぁ本人ぽいし，もうここからログインしてもいいよ^^」
みたいなのを送ってきてくれれば便利な予感がしないでもないです．

（平文無しでそんなことやれるのか？　というのは知りませんが）

論点がぐちゃぐちゃになっていますが、最初の議題

会員登録サイトで一つのidに対し複数のパスワードを設定できる仕様は邪道ですか？

に立ちかえった回答（意見）です。

• 経路、手段は何であれ、ID/PWのセットの漏えいに対するリスク評価としての観点であれば、「邪道」と思います。

  • 通過可能なセットが複数となることにより、通過できる可能性が高まる
  • リスト型攻撃を想定しても、複数のパスワードを設定することができるサイトには様々なサイトで設定したパスワードの使いまわしを複数セットする可能性が想定される

• セキュリティより利便性を優先した場合の、利便性の評価としても「邪道」と思います。

  • 記憶、認識の問題として、複数の正解があることとなり、逆に言うと設定済みのものから漏れているものが想定されることにより、結局「確実などれか」だけを使うことが想定され、複数設定することの意義は低下すると思います。
  • 100でもいくらでも設定しておけばいい、という想定からすると、その中に他者が何かを紛れ込ませても発見が困難になることが想定され、「サーバーに侵入して暗号化解除すれば」以上に「サーバーに侵入して任意のパスワードレコードを追加すれば」いいこととなり、より攻撃が容易になります。
  • これを狙った攻撃手法も比較的容易なものがいくつか想定されるように思います

• そもそもサーバーに侵入して暗号化解除、パスワード漏えいすることを想定することとリスト型攻撃等の比較について

  • パスワードの保存は「暗号化」ではなく、ハッシュなことが多いかと思います。その場合、解除できる「暗号化済みパスワード」はサーバーサイドには存在しません。つまり、進入・暗号化解除によるパスワード漏えいリスクより、リスト型攻撃の方が現実的です。
  • ハッシュに対するレインボーテーブルのような解析手法もありますが、これは結局「リスト型攻撃に利用するリストをどう作成するか」という議論になるため、結局リスト型攻撃です。
  • 「パスワードが漏えいするリスクレベルがリスト型、総当たり等とサーバー侵入によるデータ取得・暗号化解除と比較してサーバー侵入・暗号化解除の方が容易」という仮定が「偽」と考えられますため、リスト型、総当たりのリスクの方が低いから無意味、という前提は否定されるものと思います。

また、パスワード認証を利用する場合も、現代では二要素認証等、パスワードだけでは通過できないようにすることでセキュリティレベルを高めていることもあり、上記の「パスワード漏えいのリスクが充分高いからパスワード利用の利便性を高める目的で複数設定すればいい」という議論は破綻しているように思います。

仮に論点を「利便性」に持つ場合、その解決手段は、パスワードの複数登録ではなく、パスワードの利用をやめ、パスキー認証、生体認証等の入力に頼らず充分な複雑性を持つ認証手段に変える、等の対応の方が適切でしょう。

まとめとして、

• パスワードの複数設定は「邪道」
• パスワードを複数設定することによる利便性の向上と、セキュリティレベルの低下はトレードオフできるレベルにはない
  • それにより向上する利便性の度合いより、セキュリティリスクの高まる度合いの方が大きい
• セキュリティと利便性双方を維持するような解決策を取るべき

と考えます。