アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
ログインパスワード6文字以内 (スコア:2, すばらしい洞察)
最近多いよね。
パスワードは8文字以上にしてくださいとか8文字以内にしてくださいとか、
数字と英字を両方使ってくださいとかなんだとか・・・
それぞれ全く別のパスなんて覚えきれんから、
重要度に分けて数パターンのパスワードを使いわけてるんだが、
たいして重要でもないサービスに英数混合8文字以上とか言われたらイラっとくる。
ジャパンネット銀行なんて、ログインパスワードに8文字以下・英数とかややこしい制限付けやがって
複雑なパスを作らせやがったくせに、
携帯でログインしようとしたらログインパスがキャッシュカードの4桁暗証番号って、
じゃぁパソコンでのログインもそれでいいわ!と思った。
#JNBisPantsに変更してやろうか。
##だめだ英数混合じゃないし8文字オーバーだorz
Re:ログインパスワード6文字以内 (スコア:3, 興味深い)
Re:ログインパスワード6文字以内 (スコア:3, 興味深い)
- Web上のパスワード変更画面で,パスワードに空白を入れて(例:"foo bar")設定する.
- 認証画面で,設定したパスワード("foo bar")を入力すると認証が失敗する.
- 「CGIでは空白が'+'に変換される」ことを思いだす.
- 試しに空白を'+'に置換えたパスワード("foo+bar")を入力すると...認証が成功する.
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
いうのもありました。登録時は20文字で打ち込んでエラーもなく登録されたのに、
さてログイン使用と思うとログインできない。
ひょっとしてと思って一文字ずつ減らして試してみると、16文字くらいで
ログインOKになるという罠。
こういうデタラメな処理をされるくらいなら、文字数制限くらいは明記して
おいて欲しいと切に願う。明記してないサイトも多いけど、パスワードの
文字数制限がないわけないんだからさ。
Re:ログインパスワード6文字以内 (スコア:2, おもしろおかしい)
Re: (スコア:0)
これでピッタリ8文字
Re: (スコア:0)
Re:ログインパスワード6文字以内 (スコア:1)
というのが、人間と機械(コンピュータ)の双方に都合の良い妥協案だと思うの
ですが、お客様の理解を得られないのでしょうね。
Re:ログインパスワード6文字以内 (スコア:1)
#確かアップグレードできないところにひとつ残ってたと思うけどID
Re:ログインパスワード6文字以内 (スコア:2, 参考になる)
最近はMD5を使ってる(文字数制限無し)場合がほとんどでしょうけど
パスワードの暗号化にDESを使う、昔ながらの方法の場合は「先頭8文字のみ評価」です。
今でも互換性のために、パスワードの記録にDESは使えます。
(昔のパスワードファイルのエントリをそのままコピーしてくるとかが可能)
でもって、パスワードファイルのエントリがDESな場合は、パスワードを変えてもやっぱりDESのまま。
というわけで、私は今でも先頭8文字のみ評価されるのを承知の上で8文字超のパスワードを使ってたりします。
あれ?MD5も最近は廃れてるんじゃなかったっけ (スコア:0)
#ID忘れたのでAC
Re: (スコア:0)
Re:ログインパスワード6文字以内 (スコア:1)
>じゃぁパソコンでのログインもそれでいいわ!と思った。
こういうこと [security-next.com]があるから、バンキングシステムとしてキャッシュカード暗証番号の流用は推奨されないね。
例えまったくランダムな暗証番号であったとしても、3回ミスでロックとしても2500口座も試行すれば半分以上の確率で1口座ヒットする。[(0.9999^3)^2500=0.472…]
Re:ログインパスワード6文字以内 (スコア:1)
>じゃぁパソコンでのログインもそれでいいわ!と思った。
ってのは、別に
>バンキングシステムとしてキャッシュカード暗証番号の流用
を推奨しているわけではなくて、せっかく複雑な(*)ログインパスワードを設定してるのに、
携帯からのログインにはキャッシュカードの暗証番号を使うなんていう意味不明な運用に対して
なかば投げ遣りな感想を述べたまでです。
この複雑なログインパスワードの設定は、ログイン作業を煩雑にする以外の何の効果があるのか分からない。
(*)JNBのネットバンキングログインパスワードは、件のロイズのパスのように照会するためだけのパスであって、
振り込みやユーザ情報変更などの手続きには、別途ワンタイムパスワードが必要になります。
なので、誘拐されるほどの資産も持ってない私としては、こんなものに複雑なパスを必要と感じません。
だからユーザのセキュリティポリシーに従って好きに設定出来るようにしてくれたらいいのになぁと思います。
最悪キャッシュカードの暗証番号と同一でなければ本当に何でもいいんじゃないでしょうか。
Re: (スコア:0)
かつてmovaとか「パスワード欄は数字しか受け付けない」な謎仕様だったもん。
FOMAからは改善されてるけど。
他のキャリアは知らない。参考のために誰か教えてください。
Re:ログインパスワード6文字以内 (スコア:1)
パスワードの再発行をランダム文字列にしていたらDoCoMoユーザからクレームが来たので、
数字のみのパスにした経験があります。
最近聞かないですね。
私自身はJ-PHONEからのSoftbankユーザでシャープの機種しか使ったことがありませんが、
昔から英数記号が使えていたと記憶しています。
ただし、入力中の文字はアスタリスクにならないという悲しい仕様。
次の文字を入力し始めると前の文字がアスタリスクになる。
JNBとは別で使っている某地方銀行のネットバンクは、
携帯でログインするときのパスワード入力欄は、
<input type="text">です。
これもそのDoCoMo対策なんでしょうねきっと。
しかし、
>携帯電話自体にも原因があったので一概に責められないなー
とのことですが、今責めているのは
「キャッシュカードの暗証番号を流用したこと」と
「PC用ログインパスワードを無理やり複雑に設定させていること」です。
この二つを総合的に判断すると、ログインパスワードは
「キャッシュカードの暗証番号とは別の4桁以上の数字」
という縛りだけで、携帯でもそれを使えるようにすれば、
現状の「携帯でのログインはキャッシュカードの暗証番号」
よりはセキュアになるんじゃないでしょうか。
つまりJNBの運用は吟味が足りないと。
#「英数混合で」って言いたかっただけとちゃうんかと。
Re:ログインパスワード6文字以内 (スコア:1)
勤務先の社内システムは次のような制限がついています。
・パスワードは6文字以上
・パスワードは8文字以下
・数字を2文字以上含むこと
・パスワードは3か月に一度変更すること(勝手に有効期限が切れます)
・3回連続して間違えるとアカウントはロックされます。
この制限内で、覚えておけるパスワードを考えるのは至難の業。
結局、ポストイット便りな人多数 orz。
Re:ログインパスワード6文字以内 (スコア:2, 興味深い)
結局「パスワードのヒント」にパスワード丸書き(微妙に変えてあるけど)で対処になってます
Re: (スコア:0)
大して難しくは思えないんですが。
以下、適当に安直な例(QWERTYキーボードを見てください)。
例えば、偶数月に
12
qw
as
奇数の月に
23
we
sd
といった調子で使いまわせば簡単です(笑
# 過去パスワードとか、他人のパスワードとの重複もチェックしていると、少し厄介だけど
Re: (スコア:0)
なんで、数値カウントアップで対応w
eNaNsyNN
みたいなかんじ。NNNNをカウントアップね。
Re: (スコア:0)
そもそもパスワードに文字数とか文字種を制限するなんてナンセンス。
サービス側が、わざわざ弱いパスワード作成の手助けしてるようなもの。
すべてhash化すれば、何文字でも、どんな文字種でもいいじゃん。
まだまだプレインテキストで保存してる大手企業も多いんだろうな。
そらまぁ、小さなことだけど、開発側に注文つければコストかかるし。
ユーザーの認証セキュリティ<修正コスト ってことか。
それにしても、金融機関の暗証番号が数字4文字限定っていうのも、もう今の時代危険な部類になるのでは。
入力のしやすさをとるか、安全性をとるか。
え?生体認証?