アカウント名:
パスワード:
ハッシュ化してDBに保存するなら、16文字なんて中途半端な制限を設けず255文字でも1024文字でも保存容量は変わらないはず。まさか・・・・まさかねえ。
世の中のサービスの多くはパスワードの文字数に制限あるけど、それが何か?文字数制限あり→生パスワードを保存してる!はさすがに短絡的かと
この際、生パス管理してるからという理由があるのならまだ許せる。無意味に16文字の制限を加えているのなら…その方がむしろ腹立たしい。
まあ生パスの話は置いといて、なぜ16までにしようと思うのだろう。ちょっと足りない感がある人が多いと思うのだが。
無意味に16文字の制限を加えているのなら…その方がむしろ腹立たしい。 まあ生パスの話は置いといて、なぜ16までにしようと思うのだろう。 ちょっと足りない感がある人が多いと思うのだが。
小規模なシステムを管理していた際に、パスワードの文字数制限を255文字までとしていたことがありましたが、次のようなパスワードを登録する人が、あまりにも多かったです。
パスワードの文字数制限を12文字以下に制限するとこんな感じのが増えだしました。("password"や単純な辞書に載っているものは登録段階で機械的にはじいているのでこれに含まれていません)
このように、文字数や文字種の制限が緩いと、メールアドレス(自分のものや友達・恋人の?)やURL(そのサイトや有名サイトなど)をパスワードに設定する人が出てくるのです。
理由は、たぶん、「英数字と記号を含めること」を推奨していたため、記号を含み、かつ記憶しやすい(コピペしやすい?)文字列としてメールアドレスやURLが思いつき、それをパスワードとしたのだと思います。
文字数の制限すると、きちんとしたパスワードっぽい文字列を登録してくれるユーザーが多くなるので、ある程度制限しているシステムが多いんだと思います。URLはスキーム名があるので良いですが、メールアドレスというのは自由度がかなり高いので、正規表現でメールアドレスのみを弾くのはなかなか大変です。従って、メールアドレスをパスワードとするのを弾きたい管理者は、文字数制限や、パスワードに"@"や"."の使用を禁止するという簡単な対策をとるのだと思います。(実在するドメインかどうかを検証する方法もありますが、面倒です)
余談ですが、パスワードをハッシュ化しているシステムだと、ユーザーが登録しているパスワードが見れないので、システム管理者がこういった傾向に気が付きません。
URLをパスワードにするのか!なかなか良い案だ。正直、ここまでの多様性があるのであれば、別に長いパスワードでも良いんじゃないでしょうか。制限する理由にはならない気がします。
日本限定で仮名文字で17文字か31文字にして1q(季節)ごとに変更させるようにしたらいいかも。#字余りには対応せず
みじかびのき(ゃ)ぷりきとればすぎち(ょ)びれすぎかきつらねは(っ)ぱふみふみ
画像等の共有サービスで、パスワード認証はないけどURLが複雑怪奇なアドレスで、そのURLを共有したい人に教えてね、っというやつは事実上そのURLが共通の認証パスワードという扱いですよね。
どっかからリンクを貼ったりしたら検索エンジンのクローラに晒されてしまいますが、それはこの”パスワード”をWEBに公開しているってことですからね。
そこまで考えて制限を設定したとは思えないけどなぁ。それに、そんなバカなパスワードを設定するのも結局は自己責任だし。文字数を制限することで、本当にセキュリティ目的に長いパスワードを設定したい人が設定出来なくなるのが問題だ。バカにあわせるか、セキュリティ気にしぃにあわせるか。
パスワードは8〜16桁もしくは30桁以上にしてください。とかかなぁ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
なぜ最大16文字? (スコア:0)
ハッシュ化してDBに保存するなら、16文字なんて中途半端な制限を設けず255文字でも1024文字でも保存容量は変わらないはず。
まさか・・・・まさかねえ。
Re:なぜ最大16文字? (スコア:0)
世の中のサービスの多くはパスワードの文字数に制限あるけど、それが何か?
文字数制限あり→生パスワードを保存してる!はさすがに短絡的かと
Re:なぜ最大16文字? (スコア:1)
この際、生パス管理してるからという理由があるのならまだ許せる。
無意味に16文字の制限を加えているのなら…その方がむしろ腹立たしい。
まあ生パスの話は置いといて、なぜ16までにしようと思うのだろう。
ちょっと足りない感がある人が多いと思うのだが。
Re:なぜ最大16文字? (スコア:4, 興味深い)
小規模なシステムを管理していた際に、パスワードの文字数制限を255文字までとしていたことがありましたが、次のようなパスワードを登録する人が、あまりにも多かったです。
パスワードの文字数制限を12文字以下に制限するとこんな感じのが増えだしました。("password"や単純な辞書に載っているものは登録段階で機械的にはじいているのでこれに含まれていません)
このように、文字数や文字種の制限が緩いと、メールアドレス(自分のものや友達・恋人の?)やURL(そのサイトや有名サイトなど)をパスワードに設定する人が出てくるのです。
理由は、たぶん、「英数字と記号を含めること」を推奨していたため、記号を含み、かつ記憶しやすい(コピペしやすい?)文字列としてメールアドレスやURLが思いつき、それをパスワードとしたのだと思います。
文字数の制限すると、きちんとしたパスワードっぽい文字列を登録してくれるユーザーが多くなるので、ある程度制限しているシステムが多いんだと思います。URLはスキーム名があるので良いですが、メールアドレスというのは自由度がかなり高いので、正規表現でメールアドレスのみを弾くのはなかなか大変です。従って、メールアドレスをパスワードとするのを弾きたい管理者は、文字数制限や、パスワードに"@"や"."の使用を禁止するという簡単な対策をとるのだと思います。(実在するドメインかどうかを検証する方法もありますが、面倒です)
余談ですが、パスワードをハッシュ化しているシステムだと、ユーザーが登録しているパスワードが見れないので、システム管理者がこういった傾向に気が付きません。
Re: (スコア:0)
URLをパスワードにするのか!なかなか良い案だ。
正直、ここまでの多様性があるのであれば、別に長いパスワードでも良いんじゃないでしょうか。
制限する理由にはならない気がします。
Re:なぜ最大16文字? (スコア:1)
日本限定で仮名文字で17文字か31文字にして1q(季節)ごとに変更させるようにしたらいいかも。
#字余りには対応せず
みじかびのき(ゃ)ぷりきとればすぎち(ょ)びれすぎかきつらねは(っ)ぱふみふみ
Re: (スコア:0)
画像等の共有サービスで、パスワード認証はないけどURLが複雑怪奇なアドレスで、そのURLを共有したい人に教えてね、
っというやつは事実上そのURLが共通の認証パスワードという扱いですよね。
どっかからリンクを貼ったりしたら検索エンジンのクローラに晒されてしまいますが、
それはこの”パスワード”をWEBに公開しているってことですからね。
Re: (スコア:0)
そこまで考えて制限を設定したとは思えないけどなぁ。
それに、そんなバカなパスワードを設定するのも結局は自己責任だし。
文字数を制限することで、本当にセキュリティ目的に長いパスワードを設定したい人が設定出来なくなるのが問題だ。
バカにあわせるか、セキュリティ気にしぃにあわせるか。
パスワードは8〜16桁もしくは30桁以上にしてください。とかかなぁ。