アカウント名:
パスワード:
いつでもIME強制オフになっているように思える。これは問題ないのかな。
確かにパスワード入力欄にはIME経由で入れてはならないってのも押しつけだとは思うな。もちろんいろいろIMEが覚えちゃうので悪影響はあるんだけど、パスワードに仮名漢字使用可能にするだけで随分強度は増すという効果もある。
あと個人的にはコピペ禁止機能はごっそり削って欲しいな。特にペースト禁止formなんかが鬱陶しい限り。
変換候補が画面に出れば横から見えてしまうし、見えなければ学習で誤変換になっても分からないし。漢直でもない限り、かえって混乱の元のような気が。
本当にパスワードは画面に表示されてはいけないのか?というのは感情的なものを排してもう一度最初から考えるべきだと自分は思っている。
どうしても衆人環視の元でパスワードを入力するものはパスワードをマスク(し、英数記号を前提として)運用するべきかもしれないが、そうでないようなものも多数あるわけで、であれば強度と覚えやすさを鑑みるに日本語がパスワードに使えてもいいだろうと思うのだが。
> 本当にパスワードは画面に表示されてはいけないのか?
タッチタイプが出来ない上司に相談しに行った時に、上司がユーザー名の欄にパスワード丸出しで入力してる時は横に居てかなり気まずい感じになったな…。
自分にあらぬ疑いを掛けられる可能性も無くはないから、絶対誰にも見られないっていう前提じゃないと何かあったときに困るね。
IEとかinput passwordは可視に出来るボタンあるでしょなかなか広まらないけど。
> どうしても衆人環視の元でパスワードを入力するものはパスワードをマスク(し、英数記号を前提として)運用するべきかもしれないが、> そうでないようなものも多数あるわけで、であれば強度と覚えやすさを鑑みるに日本語がパスワードに使えてもいいだろうと思うのだが。
前者のような場合が在り得る限り、初期状態ではマスクすべき。
だってwebサイト作る側は、殆どの場合それがどんな環境で利用されるか分からない。
電車の中でスマホからアクセスする場合もあるだろう。今は社内からしかアクセスできないwebサイトが、ある日出張者用に社外からアクセスできるようになるかも知れない。
マスクをするかしないかは、ユーザ側で選択するべきだと思う。
初期状態でマスクするべき、というのは全くその通りだと思う。でも、日本語パスワードを受け入れられない説明ではないよね、それは。
最近の一部のサイトではパスワード入力欄の横に表示するボタンをつけてるところもあるね。inputのtypeをtextに変えるだけだから楽。
デフォルトはマスクしとけばいいけど、モバイルなど打ち間違いが起きやすい端末だと表示できると助かる。表示させた状態なら日本語も打てるだろうし、サーバー側はそのままハッシュ化するだけだろうから、マルチバイトパスワードできるかもね。
> 表示させた状態なら日本語も打てるだろうし、サーバー側はそのままハッシュ化するだけだろうから、マルチバイトパスワードできるかもね。
<input type="password"> でも、クリップボードからペーストすれば、マルチバイトのパスワードが入力できますよ。
その結果は「問題無くマルチバイトパスワードが使える」「入力可能文字種エラーで怒られる」「一見登録に成功するが、認証時にエラーになる」のどれかですが…最後のだけは勘弁してほしい。
某サイトで試したら最後のになった・・・Internal Server Errorで詰んだ。パスワード変更時は問題なくいけたのに。とりあえずパスワード忘れた手続きで直したけど。パスワード強度を要求する場合もあるし長さや文字種チェックしてる場合もありそうだ。
英数字50文字と日本語10文字、どちらが強いかな。そもそもブルートフォースでも日本語で試さないだろうから、やっぱマルチバイト最強か。ここで日本語(漢字)の多さが効いてくる。
Baidu IME「そうだそうだ!」
パスワード入力はプログラムを通さないって仕様ですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
パスワード入力欄は (スコア:0)
いつでもIME強制オフになっているように思える。
これは問題ないのかな。
Re: (スコア:0)
確かにパスワード入力欄にはIME経由で入れてはならないってのも押しつけだとは思うな。
もちろんいろいろIMEが覚えちゃうので悪影響はあるんだけど、パスワードに仮名漢字使用可能にするだけで随分強度は増すという効果もある。
あと個人的にはコピペ禁止機能はごっそり削って欲しいな。特にペースト禁止formなんかが鬱陶しい限り。
Re: (スコア:0)
変換候補が画面に出れば横から見えてしまうし、見えなければ学習で誤変換になっても分からないし。
漢直でもない限り、かえって混乱の元のような気が。
Re: (スコア:0)
本当にパスワードは画面に表示されてはいけないのか?
というのは感情的なものを排してもう一度最初から考えるべきだと自分は思っている。
どうしても衆人環視の元でパスワードを入力するものはパスワードをマスク(し、英数記号を前提として)運用するべきかもしれないが、そうでないようなものも多数あるわけで、であれば強度と覚えやすさを鑑みるに日本語がパスワードに使えてもいいだろうと思うのだが。
Re:パスワード入力欄は (スコア:2)
> 本当にパスワードは画面に表示されてはいけないのか?
タッチタイプが出来ない上司に相談しに行った時に、上司がユーザー名の欄にパスワード丸出しで
入力してる時は横に居てかなり気まずい感じになったな…。
自分にあらぬ疑いを掛けられる可能性も無くはないから、絶対誰にも見られないっていう前提じゃないと
何かあったときに困るね。
Re: (スコア:0)
IEとかinput passwordは可視に出来るボタンあるでしょ
なかなか広まらないけど。
Re: (スコア:0)
> どうしても衆人環視の元でパスワードを入力するものはパスワードをマスク(し、英数記号を前提として)運用するべきかもしれないが、
> そうでないようなものも多数あるわけで、であれば強度と覚えやすさを鑑みるに日本語がパスワードに使えてもいいだろうと思うのだが。
前者のような場合が在り得る限り、初期状態ではマスクすべき。
だってwebサイト作る側は、殆どの場合それがどんな環境で利用されるか分からない。
電車の中でスマホからアクセスする場合もあるだろう。
今は社内からしかアクセスできないwebサイトが、
ある日出張者用に社外からアクセスできるようになるかも知れない。
マスクをするかしないかは、ユーザ側で選択するべきだと思う。
Re: (スコア:0)
初期状態でマスクするべき、というのは全くその通りだと思う。
でも、日本語パスワードを受け入れられない説明ではないよね、それは。
Re: (スコア:0)
最近の一部のサイトではパスワード入力欄の横に表示するボタンをつけてるところもあるね。
inputのtypeをtextに変えるだけだから楽。
デフォルトはマスクしとけばいいけど、モバイルなど打ち間違いが起きやすい端末だと表示できると助かる。
表示させた状態なら日本語も打てるだろうし、サーバー側はそのままハッシュ化するだけだろうから、マルチバイトパスワードできるかもね。
Re:パスワード入力欄は (スコア:1)
> 表示させた状態なら日本語も打てるだろうし、サーバー側はそのままハッシュ化するだけだろうから、マルチバイトパスワードできるかもね。
<input type="password"> でも、クリップボードからペーストすれば、マルチバイトのパスワードが入力できますよ。
その結果は「問題無くマルチバイトパスワードが使える」「入力可能文字種エラーで怒られる」「一見登録に成功するが、認証時にエラーになる」のどれかですが…最後のだけは勘弁してほしい。
Re: (スコア:0)
某サイトで試したら最後のになった・・・Internal Server Errorで詰んだ。
パスワード変更時は問題なくいけたのに。とりあえずパスワード忘れた手続きで直したけど。
パスワード強度を要求する場合もあるし長さや文字種チェックしてる場合もありそうだ。
英数字50文字と日本語10文字、どちらが強いかな。
そもそもブルートフォースでも日本語で試さないだろうから、やっぱマルチバイト最強か。
ここで日本語(漢字)の多さが効いてくる。
Re: (スコア:0)
Baidu IME「そうだそうだ!」
Re: (スコア:0)
パスワード入力はプログラムを通さないって仕様ですね。