アカウント名:
パスワード:
・使える文字種は全て使う必要がある(英大小数記号)・秘密の質問に似たような設定・X日毎にパスワード変更しないとダメ(90日くらい?)・以前設定したパスワードは再利用不可
この手のサービスにあたるとめんどくさい
それに加えて、セッション持続時間が短くて3日に1回はログインし直さなきゃならないサービスも個人的にはちょっと何とかならんのかねと思う。
‥と思うんだけど、やっぱセッション持続時間は短い方がいいに決まってるんだろうか?弊社のサービスもそうした方がいいのかなあ。。。
>セッション持続時間は短い方がいいに決まってるんだろうか?これは状況によりますね。
例えば滞在時間1回10秒程度のウェブアプリ系なら、セッションは何年でも続かないとダメです。再ログインめんどくさくなった途端二度と使わなくなります。レジ前で電子マネーアプリのバーコード出そうとしたら、今から電話かけて認証しろなんて表示してたらクレームだらけです。
Tポイント/Tマネーの事かっ※前は有料のナビダイヤルか何かへ電話しろとかふざけた仕様だったような。
たぶんその考え方から間違ってる。
セッション持続時間の設計はリスクと利便性のトレードオフで、Webサービスならこの長さが最適という括りはできない。セッション持続時間は短い方が安全には決まっている。安全なだけではダメなのか?ということ。ユースケースで妥当な長さは異なる。どう使われるかという基本的思考はWebサービスという枠組みより広い考え方が要る。
わかってないな。「アプリの一般的な」という考え方ではダメなの。例えば「金融系」「コンテンツ系」ならまだ領域を分けた話はできるが、アプリやWebサービスという括りはその両者を横断していて、結局「すべてのサービスにおいてセッション持続時間は短い方がいいに決まってるんだろうか?」という問いになってしまう。
この議論においてアプリがWebかという切り分けは全く意味が無いんだよ。「金融系」「コンテンツ系」とは言ったけど、その切り分けも別に良いという程でもない。「状況によりますね。」の方が正しい。
こういう余計な言葉をつけると、マイナスモデされちゃうよ。>周回遅れ。
アプリとWebでおおよそ同じ機能・サービス(さらにUIもほとんど同じ場合も)を提供しているところはいくらでもあるけどそれらもアプリとWebでユースケースが全然違ってしまうんですか?面白いですね。
一般論という言葉を勉強したほうがいいな
Webサービスでもタブを何十個も開いたまま、ブラウザにクッキー残しっぱなしの人たちは状況同じですよ。
首がもげるほど同意。
特に制限書いてないんで英数記号64文字叩き込んで登録ボタン押したら「パスワードは英数20文字まで」とかエラー出してくるときなんか殺意が沸く。
最後のは経験あるしF社が作ったシステムなら同じかも。ログインのパスワードがcrypt()で処理されて、当時はDESだから8文字しか使われないってオチだった。
>特に制限書いてないんで英数記号64文字叩き込んで登録ボタン押したら「パスワードは英数20文字まで」とかエラー出してくるときなんか殺意が沸く。
パスワードは英数4文字以上と書かれていて、長大な文字列を入れても先頭から8文字までしか認識処理してなかったのはあったっけ
記号が必須だけど、使えるかどうかは投入してみないとわからないシステム、とかね。
うちは60日でパスワード変更強制、英大文字・小文字・数字を使用、直近9回の使用パスワードは設定不可。みんな大文字小文字は固定で、末尾に0から9までの数字を順番に付け足してる。文字種を色々使わせるようにしてる意味がまるでない。絶対そうなるから制限見直したほうがいいって何度も言ってたけど変わる気配なくて諦めの境地。
>うちは60日でパスワード変更強制、英大文字・小文字・数字を使用、直近9回の使用パスワードは設定不可。>みんな大文字小文字は固定で、末尾に0から9までの数字を順番に付け足してる。
うちは直近5回でした結局頭かお尻に年と月の数字(2306とか)つけたりわかりやすいルールで設定してしまう
某市の「パスワードは英数文字含めた13桁」を思い出した
amagasakicity数字入れてなかった
うちのしゃちょーは期限来て変えるときにいちどに4回変えることで過去三回と同じパスワードは使えない生源をクリアしてました
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
パスワード設定とか (スコア:1)
・使える文字種は全て使う必要がある(英大小数記号)
・秘密の質問に似たような設定
・X日毎にパスワード変更しないとダメ(90日くらい?)
・以前設定したパスワードは再利用不可
この手のサービスにあたるとめんどくさい
Re:パスワード設定とか (スコア:1)
それに加えて、セッション持続時間が短くて
3日に1回はログインし直さなきゃならないサービスも
個人的にはちょっと何とかならんのかねと思う。
‥と思うんだけど、やっぱセッション持続時間は短い方がいいに決まってるんだろうか?
弊社のサービスもそうした方がいいのかなあ。。。
Re: (スコア:0)
>セッション持続時間は短い方がいいに決まってるんだろうか?
これは状況によりますね。
例えば滞在時間1回10秒程度のウェブアプリ系なら、セッションは何年でも続かないとダメです。
再ログインめんどくさくなった途端二度と使わなくなります。
レジ前で電子マネーアプリのバーコード出そうとしたら、今から電話かけて認証しろなんて表示してたらクレームだらけです。
Re: (スコア:0)
Tポイント/Tマネーの事かっ
※前は有料のナビダイヤルか何かへ電話しろとかふざけた仕様だったような。
Re:パスワード設定とか (スコア:1)
たぶんその考え方から間違ってる。
セッション持続時間の設計はリスクと利便性のトレードオフで、Webサービスならこの長さが最適という括りはできない。
セッション持続時間は短い方が安全には決まっている。安全なだけではダメなのか?ということ。
ユースケースで妥当な長さは異なる。どう使われるかという基本的思考はWebサービスという枠組みより広い考え方が要る。
Re:パスワード設定とか (スコア:1)
わかってないな。「アプリの一般的な」という考え方ではダメなの。
例えば「金融系」「コンテンツ系」ならまだ領域を分けた話はできるが、アプリやWebサービスという括りはその両者を横断していて、
結局「すべてのサービスにおいてセッション持続時間は短い方がいいに決まってるんだろうか?」という問いになってしまう。
この議論においてアプリがWebかという切り分けは全く意味が無いんだよ。
「金融系」「コンテンツ系」とは言ったけど、その切り分けも別に良いという程でもない。「状況によりますね。」の方が正しい。
Re: (スコア:0)
こういう余計な言葉をつけると、マイナスモデされちゃうよ。>周回遅れ。
Re: (スコア:0)
アプリとWebでおおよそ同じ機能・サービス(さらにUIもほとんど同じ場合も)を提供しているところはいくらでもあるけどそれらもアプリとWebでユースケースが全然違ってしまうんですか?
面白いですね。
Re: (スコア:0)
一般論という言葉を勉強したほうがいいな
Re: (スコア:0)
Webサービスでもタブを何十個も開いたまま、ブラウザにクッキー残しっぱなしの人たちは状況同じですよ。
Re:パスワード設定とか (スコア:1)
・制限があるならそれを画面に書いとけ
って思った
Re: (スコア:0)
首がもげるほど同意。
特に制限書いてないんで英数記号64文字叩き込んで登録ボタン押したら「パスワードは英数20文字まで」とかエラー出してくるときなんか殺意が沸く。
Re:パスワード設定とか (スコア:3)
かつて出会ったのは、
「パスワードが不適切です」(パスワードが長すぎただけ)
「パスワードが単純すぎます」(パスワードジェネレータが生成した20文字のパスワードにたまたま数字が入ってなかった。こちらのミスではあるけど、エラーメッセージは妥当だろうか?)
「パスワードは20文字以内です」(実際には、18文字が上限だった。CR+LF を含んで、20文字?)
最悪だったのは、例によって何の制限も書いていなかったので、20文字くらいのパスワードを入力したら、何事もなかったように登録できた。その後ログインすると、パスワードを受け付けない。
どうも、実際には文字数の制限があって、最初に入力したパスワードの後ろの方は切り捨てて処理されたけど、なぜか、ログイン時には、入力文字を全部使って処理をしたらしい(なので、パスワードは不一致)
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
Re: (スコア:0)
最後のは経験あるしF社が作ったシステムなら同じかも。
ログインのパスワードがcrypt()で処理されて、当時はDESだから8文字しか使われないってオチだった。
Re:パスワード設定とか (スコア:1)
>特に制限書いてないんで英数記号64文字叩き込んで登録ボタン押したら「パスワードは英数20文字まで」とかエラー出してくるときなんか殺意が沸く。
パスワードは英数4文字以上と書かれていて、長大な文字列を入れても先頭から8文字までしか認識処理してなかったのはあったっけ
Re: (スコア:0)
記号が必須だけど、使えるかどうかは投入してみないとわからないシステム、とかね。
Re: (スコア:0)
うちは60日でパスワード変更強制、英大文字・小文字・数字を使用、直近9回の使用パスワードは設定不可。
みんな大文字小文字は固定で、末尾に0から9までの数字を順番に付け足してる。
文字種を色々使わせるようにしてる意味がまるでない。
絶対そうなるから制限見直したほうがいいって何度も言ってたけど変わる気配なくて諦めの境地。
Re:パスワード設定とか (スコア:1)
>うちは60日でパスワード変更強制、英大文字・小文字・数字を使用、直近9回の使用パスワードは設定不可。
>みんな大文字小文字は固定で、末尾に0から9までの数字を順番に付け足してる。
うちは直近5回でした
結局頭かお尻に年と月の数字(2306とか)つけたり
わかりやすいルールで設定してしまう
Re: (スコア:0)
某市の「パスワードは英数文字含めた13桁」を思い出した
Re: (スコア:0)
amagasakicity
数字入れてなかった
Re:パスワード設定とか (スコア:1)
うちのしゃちょーは期限来て変えるときにいちどに4回変えることで過去三回と同じパスワードは使えない生源をクリアしてました