夜の書斎。通販サイトのログイン画面に向かって、パスワードをひと文字ずつ打ち込む。ところが画面に並ぶのは「●●●●●●●●」という黒丸の行列だけ。打ち間違えたのかどうかすら分からず、思わず眼鏡の位置を直した経験はありませんか。
この記事では、ソフトウェア開発歴40年超の元エンジニアである私ヒロが、「パスワードはなぜ隠されるのか」という日常の謎を、推理仕立てで種明かしします。あわせて、Windowsパソコンで保存済みパスワードを自分で確認する手順もご紹介しますよ。
先に申し上げておきましょう。あの「****」が守っている相手は、実は機械ではありません。読み終わる頃には、「忘れたら再設定しかできない理由」というもうひとつの謎まで、すっきり解けているはずです。
※本記事はWindowsパソコンを前提にしています。
【はじめに読んで下さい】(免責事項)
記事の内容について
本記事は、筆者(ヒロ)の実体験や調査をベースに構成しています。ただし、読者の皆様に分かりやすく解説するため、また筆者や関係者のプライバシーを保護するため、登場人物・時期・環境・金額などの細部を一部変更したり、一般的な事例やフィクションを織り交ぜたりしている場合があります。すべての記述が筆者の個人的な事実そのままとは限りません。
また、記事内に登場する人物(テル・タケシなど)は、内容を分かりやすくお伝えするための架空のキャラクターであり、実在の人物との会話を記録したものではありません。
損害等の責任について
当ブログをご利用になったこと、または掲載情報に基づいて読者様が起こされた行動により、いかなる不利益や損害(金銭的損失を含む)が生じた場合におきましても、筆者は一切の責任を負いかねますので、あらかじめご了承ください。
そのほか、情報の正確性、設定・操作時の注意(バックアップの推奨)、商品レビューの位置づけ、アフィリエイトリンクの利用などの詳細は「免責事項」をご覧ください。
1. 謎 打ち込んだはずの文字が「****」に変わる

事件現場は、どこにでもあるログイン画面です。キーボードを叩いた文字が、画面に届く前にどこかへ消え、代わりに黒丸だけが整列している。毎日目にしているのに、その理由を考えたことがある人は意外と少ないのではないでしょうか。
今回の謎は、パソコン教室仲間のテルさんが持ち込んでくれました。
テルヒロさん、パスワードを打つと●●●●になっちゃうでしょ。あれ、パソコンにはちゃんと伝わってるの?
ヒロ面白い謎ですね。実はあれ、多くの人が誤解している仕組みなんです。今日はこの謎を一緒に解いてみましょう。
1.1 画面に並ぶ「●●●●」 文字はどこへ消えたのか
まず、この謎の奇妙さを整理しておきましょう。パスワードの伏せ字表示は、考えてみればずいぶん不便な仕組みです。打ち間違いに気づけず、ログインに失敗してからやり直す。1文字ずつ慎重に打っても、合っている自信が持てない。
それなのに、この仕様は世界中のほぼすべてのサイトとアプリで共通です。銀行も、通販も、メールも、そろって同じ黒丸を並べてくる。これだけ不便なのに全世界で採用されているということは、それを上回る強い理由があるはず。ここが推理の出発点です。
1.2 よくある推理「パソコンの中でも●●●●に変わっている」説
こういう謎には、たいてい「もっともらしい俗説」がつきものです。甥っ子のタケシくんに聞いてみたら、案の定こう答えました。
タケシあれは暗号化ってやつっすよ。パソコンの中でも星印に変わって、そのまま保存されてるんです。常識っしょ?
自信満々の推理です。そして正直なところ、この説はなかなかもっともらしい。「暗号化」という言葉はニュースでもよく聞きますし、「見えなくなった=変換された」と考えるのは自然な発想ですからね。
しかし、優秀な探偵は思い込みで犯人を決めません。まずは証拠を集めましょう。実は、この説を一撃で崩す「動かぬ証拠」が、あなたのすぐ目の前にあるのです。
2. 第一の手がかり 目のアイコンを押すと文字が現れる

最初に結論を言います。隠されているのは「画面の表示」だけです。パソコンには、あなたが打った文字がそのまま届いています。
2.1 現場検証 目のアイコンという「動かぬ証拠」
最近のログイン画面には、パスワード入力欄の右端に目の形をしたアイコンが付いていることが多くなりました。Windowsのサインイン画面にも、EdgeやChromeで開くサイトの多くにもあります。これを押してみてください。
黒丸の行列が、一瞬で元の文字に戻ります。もう一度押せば、また黒丸に。何度でも切り替えられます。
ここで探偵の推理です。もしタケシくんの言うように「中でも星印に変わって保存されている」のなら、押した瞬間に元の文字へ戻せるのはおかしい。変換されて消えたはずの文字を、どうやって取り戻すのでしょう。つまり文字は最初から消えてなどいない。パソコンはずっと、本物の文字を持っていたのです。
2.2 推理の整理 「変身」ではなく「目隠し」だった
これが第一の真相です。「****」は文字の変身ではなく、画面の上にかけられた目隠しにすぎません。家の玄関先にすだれを掛けても、家の中の家具が変わるわけではないのと同じです。
キーボードから入った文字は、そのままの姿でパソコンに届き、そのままの姿でサイトへ送り出される準備をしています。画面だけが「見せない」仕事をしている、という役割分担なんですね。

え、じゃあ中では星印になってないんすか? 俺の常識、崩壊したんすけど。

そう、文字はそのまま届いているんです。では次の疑問です。届いているなら、なぜわざわざ隠すのか。ここからが本番ですよ。
3. 第二の手がかり 守っている相手は「のぞき見」だった

結論から言いましょう。あの目隠しが守っている相手は、ウイルスでも、遠い国のハッカーでもありません。あなたの画面をのぞき込める距離にいる、生身の人間です。
3.1 犯人捜しの視点転換:遠くの敵ではなく、近くの目
「セキュリティ」と聞くと、私たちはつい遠くの敵を想像します。怪しいメール、ウイルス、ハッカー。しかし冷静に考えてみてください。画面の表示を黒丸にしたところで、遠くの攻撃者には何の効果もありません。彼らはあなたの画面を見ていないのですから。
では、表示を隠して防げる相手は誰か。消去法で残るのはただひとつ。あなたの画面が物理的に見える場所にいる人です。犯人は遠くではなく、すぐ近くにいた。ミステリーの定石どおりの展開ですね。
3.2 ショルダーハック 喫茶店・電車・職場、日常のどこでも
肩越しに画面や手元をのぞき見て情報を盗む手口は「ショルダーハック」と呼ばれ、コンピューターの世界では昔から知られてきた古典的な手法です。特別な道具も技術もいらず、必要なのは目と少しの図々しさだけ。だからこそ、喫茶店でも電車でも職場でも、どこでも起こりえます。
実はこの「隠す仕様」、専門家の間でも一度議論になったことがあります。「伏せ字は不便なだけで効果が薄いのでは」という使い勝手の研究者の問題提起に対し、セキュリティの実務側は「のぞき見は現実に起きている」と反論しました。この論争はITmedia エンタープライズの記事でも紹介されています。不便さを承知のうえで、世界は「隠す」を選び続けているわけです。
ここで大事なのは、過度に怖がらないこと。のぞき見は昔からある手口であり、対策もまた昔から確立されています。夜道で財布を鞄の奥にしまうのと同じ、暮らしの知恵レベルの話なんです。
3.3 ATMで暗証番号を手で隠す、あの動作の自動化
銀行のATMで暗証番号を押すとき、反対の手でボタンをさっと覆う。あの動作を思い出してください。パスワードの「****」は、あの「手で隠す」動作を、画面が自動でやってくれているだけなのです。
ATMで手を添えるのを「不便だ」と怒る人はいませんよね。それと同じで、伏せ字も「のぞき見という古典的な手口への、昔ながらの合理的な対策」というわけです。

ATMと同じって言われると、急に身近な話に思えてきたわ。機械相手じゃなくて、人間の目から守ってたのね。

その通りです。ただ、勘のいい人はこう思うはず。「目隠しだけで、大切なパスワードを守り切れるの?」と。いよいよ最後の真相です。
4. 真相 本当の金庫は別の場所にある

この事件の真相はこうです。「****」は玄関先の目隠しにすぎず、本当の守りは「サービス側がパスワードをそのまま保存しない」という仕組みにあります。
4.1 残された疑問 目隠しだけで大切なものを守れるのか
ここまでの推理で、表示の目隠しは「近くの人間」対策だと分かりました。しかし、パスワードの本当の脅威は別にもあります。もしサイトの会社が攻撃されて、預けたパスワードの一覧が盗まれたら? 目隠しなど何の役にも立ちません。
実は、まともなサービスはこの事態を最初から想定して設計されています。40年この業界にいた身として断言できるのは、「盗まれない」ではなく「盗まれても読めない」を目指すのが設計の基本だということです。
4.2 リンゴジュースの推理 一方通行の変換「ハッシュ」
きちんと作られたサービスは、あなたのパスワードをそのままの形では保存しないとされています。保存する前に「ハッシュ」と呼ばれる方法で、まったく別の文字列に変換してしまうのです。
この変換の最大の特徴は、一方通行だということ。リンゴをすりつぶしてジュースにすることはできますが、ジュースからリンゴに戻すことは誰にもできませんよね。ハッシュも同じで、パスワードからハッシュは作れても、ハッシュから元のパスワードを取り出すことはできない仕組みです。
「戻せないなら、どうやって照合するの?」と思いますよね。ここが賢いところで、あなたがログインするたびに、入力されたパスワードをその場で同じ方法でジュースにし、保存してあるジュースと見比べるのです。同じリンゴからは同じジュースができる。だから元に戻せなくても、本人確認はできるというロジックです。

ジュースからリンゴには戻せない…。それじゃあ、サイトの会社の人も私のパスワードを知らないってこと?

そうなんです。運営者自身も知らない。冷たい話に聞こえますが、実はそれこそが一番誠実で安全な設計なんですよ。
4.3 守りは1枚の壁ではなく「層」になっている
ここまでの登場人物を整理すると、パスワードの守りが何層にも重なっていることが見えてきます。エンジニア時代、私たちはこれを「多層防御」と呼んでいました。
- 画面の目隠し(****):近くの「のぞき見」から守る
- 通信の暗号化:送信中の盗み見から守る(鍵マークのhttps)
- 保存のハッシュ:万一保管庫が破られても読めないようにする
玄関の目隠し、移動中の現金輸送車、そして最後の金庫。それぞれ守る相手が違うから、層になっているのです。「どれか1枚あれば大丈夫」ではなく層で考える。これがセキュリティの世界の基本的な考え方とされています。
5. 解けたもうひとつの謎 「忘れたら再設定」しかできない理由

さて、真相が分かると、日常のもうひとつの謎が芋づる式に解けます。「パスワードを忘れたので教えてください」に対して、どのサイトも決して教えてくれず、「再設定」しかさせてくれない。あれはなぜか。
5.1 サイトが教えてくれないのは、不親切ではなく誠実
答えはもうお分かりですね。サイトは教えてくれないのではなく、教えられないのです。手元にあるのはジュース(ハッシュ)だけで、リンゴ(元のパスワード)は誰も持っていない。だから新しいリンゴを登録し直してもらうしかない、というわけです。
私は現役時代、この設計を「誠実さの証」だと教わりました。運営者にすら読めない形で預かるからこそ、社員の不正でも、外部からの攻撃でも、元のパスワードは漏れようがない。「教えられない」は、あなたへの最大限の敬意なんです。再設定の手間にため息をつきたくなったら、「ああ、ここはちゃんとした金庫を使っているんだな」と思ってみてください。
5.2 元エンジニアの目利き パスワードをそのまま送ってくるサービスは危険信号
この知識は、サービスの安全性を見分ける物差しにもなります。逆のケースを考えてみてください。「パスワードを忘れた」と申請したら、登録したパスワードがそのままメールで送られてきた。便利に見えますが、これは要注意のサインです。
そのままの形で送れるということは、そのままの形で保存している可能性がある。つまり金庫ではなく、机の引き出しに現金を入れているようなものかもしれません。こうしたサービスでは、他で使っていないパスワードを設定するなど、一段の注意が必要とされています。
6. 自分のパスワードをWindowsで確認する手順

謎が解けたところで、ここからは実益の時間です。入力中のパスワードや、ブラウザーに保存したパスワードを自分で確認する手順をご紹介します。
ここで紹介するのは、自分のパソコンで、自分のアカウントのパスワードを確認するための手順です。他人のパソコンやアカウントで試すことは、トラブルや法律上の問題につながるおそれがあります。
6.1 入力中のパスワードを確認する 目のアイコン
いちばん手軽なのが、第2章で「動かぬ証拠」として登場した目のアイコンです。パスワード入力欄の右端にあれば、クリックすると伏せ字が元の文字に戻ります。サイトによっては、押している間だけ表示されるタイプもありますね。
使うときの作法はひとつだけ。周囲に人がいないことを確かめてから押すこと。せっかくの目隠しを自分で外すわけですから、ATMで手をどける前に周りを見るのと同じ心構えです。
6.2 Microsoft Edgeに保存したパスワードを確認する
「保存したパスワードを忘れてしまった」というときは、ブラウザーの保管庫を開いて確認できます。まずはWindows標準のMicrosoft Edgeの手順です。
Edge右上の「…」(設定など)をクリックし、「設定」を選びます。急ぐ場合は、アドレスバーに edge://settings/passwords と入力してEnterを押す近道もあります。
左側のメニューで「プロファイル」を選び、「パスワード」(お使いのバージョンによっては「ウォレット」内)をクリックすると、保存済みのサイト一覧が表示されます。
確認したいサイトの行にある目のアイコンをクリックすると、WindowsのPINまたはパスワードの入力を求められます。認証が済むと、パスワードが表示されます。
途中でWindowsの認証を求められるのは、面倒がらせるためではありません。「この画面を開いているのが持ち主本人か」を確かめる、防御のもう1層です。第4章でお話しした「守りは層で考える」が、こんな身近なところでも働いているんですね。
6.3 Google Chromeに保存したパスワードを確認する
Chromeをお使いの場合も、流れはほとんど同じです。
Chrome右上の「︙」をクリックし、「パスワードと自動入力」から「Googleパスワードマネージャー」を選びます。
保存済みサイトの一覧から、確認したいサイト名をクリックします。
パスワード欄の目のアイコンをクリックし、WindowsのPINまたはパスワードで認証すると、パスワードが表示されます。
なお、画面の名称や配置はブラウザーの更新で変わることがあります。見つからないときは、設定画面の検索欄に「パスワード」と入力するのが早道ですよ。
6.4 もうひとつの保管庫 資格情報マネージャー
実はWindows自身も、パスワードの保管庫を持っています。名前は「資格情報マネージャー」。コントロールパネルを開き、「ユーザーアカウント」から「資格情報マネージャー」と進むと出てきます。
ここには「Web資格情報」と「Windows資格情報」の2つの棚があり、昔のブラウザーで保存したものや、社内のファイル共有への接続情報などが並んでいることがあります。ふだん使いで開く機会は少ないのですが、「Windowsにもこういう金庫がある」と知っておくと、いざというとき慌てずに済みます。
7. 守りを一段強くする、今日からの3つの習慣

仕組みが分かったら、仕上げに守りを一段強くしておきましょう。どれも今日から始められる、地味だけれど効く習慣です。派手な必殺技はセキュリティの世界にはありません。あるのは層の積み重ねだけです。
7.1 のぞき見への昔ながらの対策
本記事の主役だった「のぞき見」への対策は、拍子抜けするほどシンプルです。外でパスワードを打つときは、周囲をひと目確認してから。喫茶店や電車では、画面の向きを少し工夫する。ATMでやっているあの用心を、パソコンとスマホにも広げるだけです。
外出先でパソコンを使う機会が多い方には、画面に貼る「のぞき見防止フィルター(プライバシーフィルム)」という道具もあります。横から見ると画面が暗くなるフィルムで、電車で隣の席が気になる方には検討する価値のある選択肢とされています。
7.2 パスワードの使い回しをやめる
複数のサイトで同じパスワードを使い回すのは、家中のドアを1本の合鍵で開くようにすることと同じです。どこか1軒で鍵が盗まれたら、全部の部屋が開いてしまう。第4章のとおり、まともなサービスは金庫(ハッシュ)で守ってくれていますが、世の中には机の引き出し程度の管理のサービスも残っています。
とはいえ、全部を一度に変えるのは大変です。おすすめはお金に関わるサイトから順番に。銀行、証券、クレジットカード、次に大手通販。この順で「1サイト1パスワード」に変えていけば、リスクの大きい所から片づいていきます。
7.3 覚えきれないパスワードは道具に頼る
「使い回すなと言われても、覚えきれない」。ごもっともです。私だって、40年パソコンをいじってきた今でも、暗記できるパスワードはせいぜい数個。だから覚える競争は最初から降りて、道具に頼っています。
選択肢は主に3つあります。第一に、今回ご紹介したブラウザーの保存機能。EdgeやChromeが暗号化して預かってくれ、Windowsの認証という層も付いてきます。第二に、専用のパスワード管理ソフト。多数のパスワードを1つの親パスワードで管理でき、パソコンとスマホで共用できるものが多くあります。
そして第三に、紙のノート。意外に思われるかもしれませんが、ネット越しに盗まれる心配がないという点では筋の通った方法です。家の中の保管場所にさえ気をつければ、立派な選択肢のひとつ。大切なのは道具の優劣より、「どれかひとつ、自分が続けられる管理方法を決める」ことです。

セキュリティは1枚の壁ではなく、層で考える。仕組みを知った今日のあなたの理解が、その一番内側の層になりますよ。
8. よくある質問

- 目のアイコンがないサイトもあるのはなぜですか?
-
目のアイコンはサイトごとに用意する部品で、義務ではないためです。古い設計のサイトには付いていないことがあります。その場合も仕組みは同じで、文字はそのままサイトに届いています。
- 保存したパスワードを見るとき、WindowsのPINやパスワードを聞かれるのはなぜですか?
-
その画面を開いているのが持ち主本人かを確かめるための、本人確認の層です。逆に言えば、この認証があるおかげで、席を離れたすきに他人が保存済みパスワードを一覧表示する、といったことがしにくくなっています。
- 「****」の数は、実際の文字数と同じなのですか?
-
多くの画面では打った文字数と同じ数の伏せ字が表示されます。ただし、のぞき見に文字数すら知らせないよう、わざと数を変えて表示する設計のアプリも存在します。表示はあくまで目隠しなので、数が違っても入力自体は正しく届いています。
- ブラウザーにパスワードを保存するのは危なくないですか?
-
保存されたパスワードは暗号化され、表示にはWindowsの認証が求められるなど、複数の層で守られています。「絶対」とは言えませんが、同じパスワードをあちこちで使い回すよりは安全側の選択とされています。パソコン自体のPINやパスワードをしっかり設定しておくことが前提です。
- スマホだと、打った最後の1文字が一瞬だけ見えるのはなぜですか?
-
スマホの小さな画面では打ち間違いが多いため、「打ち間違い防止」と「のぞき見対策」の折衷案として、最後の1文字だけ短時間表示する設計が広く使われています。目隠しの目的は同じで、少しだけ使い勝手に寄せた工夫です。
- パスワードを忘れたとき、運営会社に電話すれば教えてもらえますか?
-
きちんと設計されたサービスでは、運営会社の社員も元のパスワードを知ることができないため、電話でも教えてもらえません。案内されるのは再設定の手続きです。逆に、電話口でパスワードを教えてくれるサービスがあれば、そのまま保存している可能性があり、注意が必要とされています。
今回の謎解きをまとめましょう。「****」は画面だけの目隠しで、文字はそのままパソコンに届いている。守っている相手は機械ではなくのぞき見をする人間の目。そして本当の金庫は、パスワードをそのまま保存しないハッシュという仕組みにあり、だからこそ「忘れたら再設定」しかできないのでしたね。
仕組みが分かれば、パスワードは怖い存在ではなくなります。まずは今日、ご自分の保存済みパスワードの確認と、お金まわりのサイトの使い回し卒業から始めてみてください。次回のパソコンミステリー講座では、また別の「パソコンの当たり前」の謎を解いていきます。お楽しみに。

【事件簿一覧】 ヒロのパソコンミステリー講座 こんにちは、あすのヒロです。 「消したはずのファイルは、本当に消えているのか?」「何も保存していないのに、なぜか減っていくディスク…
本記事の注意事項(免責事項)
最後までお読みいただきありがとうございました。本記事でご紹介した設定や操作、商品の使用感などは、筆者の環境・体験に基づくものであり、お使いの機器やソフトのバージョン、ご利用環境によって結果が異なる場合があります。なお、分かりやすさやプライバシー保護のため、記事内のエピソードや金額等の数値には一部フィクション・例示を含みます。設定変更やデータ操作を行う際は、事前のバックアップを忘れず、必ずご自身の判断と責任のもとでお試しください。当ブログの情報を利用したことによるいかなる損害についても、筆者は一切の責任を負いかねますので、あらかじめご了承ください。詳しくは「免責事項」をご覧ください。
