パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ANA、会員向けオンラインサービスのログイン用に8~16桁の「Webパスワード」を導入すると発表」記事へのコメント

  • by Anonymous Coward

    ハッシュ化してDBに保存するなら、16文字なんて中途半端な制限を設けず255文字でも1024文字でも保存容量は変わらないはず。
    まさか・・・・まさかねえ。

    • by Anonymous Coward

      世の中のサービスの多くはパスワードの文字数に制限あるけど、それが何か?
      文字数制限あり→生パスワードを保存してる!はさすがに短絡的かと

      • by Anonymous Coward

        この際、生パス管理してるからという理由があるのならまだ許せる。
        無意味に16文字の制限を加えているのなら…その方がむしろ腹立たしい。

        まあ生パスの話は置いといて、なぜ16までにしようと思うのだろう。
        ちょっと足りない感がある人が多いと思うのだが。

        • by Printable is bad. (38668) on 2014年08月21日 1時56分 (#2660843)

          無意味に16文字の制限を加えているのなら…その方がむしろ腹立たしい。 まあ生パスの話は置いといて、なぜ16までにしようと思うのだろう。 ちょっと足りない感がある人が多いと思うのだが。

          小規模なシステムを管理していた際に、パスワードの文字数制限を255文字までとしていたことがありましたが、次のようなパスワードを登録する人が、あまりにも多かったです。

          • hogehoge@docomo.example.com (メールアドレス)
          • http://www.mywebsite.example.com (そのWebサイトのURL)
          • https://www.yahoo.co.jp (Yahoo! やその他有名サイトのURL)

          パスワードの文字数制限を12文字以下に制限するとこんな感じのが増えだしました。("password"や単純な辞書に載っているものは登録段階で機械的にはじいているのでこれに含まれていません)

          • bakanayuta (馬鹿なユウタ? 日本語をローマ字にしたもの)
          • kubota1110 (人名+誕生月日?)
          • qwer0823 (キーボードを連続で打って月日を足したもの?)
          • 2014mjsk (年+まじすか?)

          このように、文字数や文字種の制限が緩いと、メールアドレス(自分のものや友達・恋人の?)やURL(そのサイトや有名サイトなど)をパスワードに設定する人が出てくるのです。

          理由は、たぶん、「英数字と記号を含めること」を推奨していたため、記号を含み、かつ記憶しやすい(コピペしやすい?)文字列としてメールアドレスやURLが思いつき、それをパスワードとしたのだと思います。

          文字数の制限すると、きちんとしたパスワードっぽい文字列を登録してくれるユーザーが多くなるので、ある程度制限しているシステムが多いんだと思います。URLはスキーム名があるので良いですが、メールアドレスというのは自由度がかなり高いので、正規表現でメールアドレスのみを弾くのはなかなか大変です。従って、メールアドレスをパスワードとするのを弾きたい管理者は、文字数制限や、パスワードに"@"や"."の使用を禁止するという簡単な対策をとるのだと思います。(実在するドメインかどうかを検証する方法もありますが、面倒です)

          余談ですが、パスワードをハッシュ化しているシステムだと、ユーザーが登録しているパスワードが見れないので、システム管理者がこういった傾向に気が付きません。

          親コメント
          • by Anonymous Coward

            URLをパスワードにするのか!なかなか良い案だ。
            正直、ここまでの多様性があるのであれば、別に長いパスワードでも良いんじゃないでしょうか。
            制限する理由にはならない気がします。

            • by nemui4 (20313) on 2014年08月21日 12時26分 (#2661022) 日記

              日本限定で仮名文字で17文字か31文字にして1q(季節)ごとに変更させるようにしたらいいかも。
              #字余りには対応せず

              みじかびのき(ゃ)ぷりきとればすぎち(ょ)びれすぎかきつらねは(っ)ぱふみふみ

              親コメント
            • by Anonymous Coward

              画像等の共有サービスで、パスワード認証はないけどURLが複雑怪奇なアドレスで、そのURLを共有したい人に教えてね、
              っというやつは事実上そのURLが共通の認証パスワードという扱いですよね。

              どっかからリンクを貼ったりしたら検索エンジンのクローラに晒されてしまいますが、
              それはこの”パスワード”をWEBに公開しているってことですからね。

          • by Anonymous Coward

            そこまで考えて制限を設定したとは思えないけどなぁ。
            それに、そんなバカなパスワードを設定するのも結局は自己責任だし。
            文字数を制限することで、本当にセキュリティ目的に長いパスワードを設定したい人が設定出来なくなるのが問題だ。
            バカにあわせるか、セキュリティ気にしぃにあわせるか。

            パスワードは8〜16桁もしくは30桁以上にしてください。とかかなぁ。

アレゲは一日にしてならず -- アレゲ研究家

処理中...