アカウント名:
パスワード:
パターンA:数字のみパターンB:英数字のみ、'.'や'-'や'_'を含め記号不可パターンC:英数字と記号が使用可パターンD:英字・数字・記号を全種最低一文字含める必要ありパターンE:英字大文字・英字小文字・数字を全種最低一文字含める必要ありパターンF:パターンDまたはEに加え、過去に一度でも使用したパスワードに戻すことも禁止、パスワード変更も一文字だけの変更は禁止(パスワードのハッシュでそこまでわかるの?それとも平文をサーバで持ってる?)
上記パターンを考慮しながらサイト毎に別々のパスワードを設定するとしても、個々のサイトが上記パターンのどれに該当するかは忘れがち。そしてパターンFのサイトは、パスワードリセットのたびにパスワードがだんだん覚えづらくカオスになっていく……
パスワードに自身のユーザーIDを含めるのが禁止なのは当然ですが、(組織内の)他人のユーザーIDを含めるのも禁止されてるのはどうかと思ったことがあります。ユーザーIDが氏名から生成されていると、パスワードに例えば自分の好きな芸能人の名前を使おうとすると引っ掛かる可能性があります。
ただ攻撃者の総当たり用の辞書には主な姓名が含まれているだろうと考えると、当然のポリシーなんでしょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
パスワードポリシーがサイトにより異なるので困る (スコア:0)
パターンA:数字のみ
パターンB:英数字のみ、'.'や'-'や'_'を含め記号不可
パターンC:英数字と記号が使用可
パターンD:英字・数字・記号を全種最低一文字含める必要あり
パターンE:英字大文字・英字小文字・数字を全種最低一文字含める必要あり
パターンF:パターンDまたはEに加え、過去に一度でも使用したパスワードに戻すことも禁止、パスワード変更も一文字だけの変更は禁止(パスワードのハッシュでそこまでわかるの?それとも平文をサーバで持ってる?)
上記パターンを考慮しながらサイト毎に別々のパスワードを設定するとしても、個々のサイトが上記パターンのどれに該当するかは忘れがち。
そしてパターンFのサイトは、パスワードリセットのたびにパスワードがだんだん覚えづらくカオスになっていく……
Re:パスワードポリシーがサイトにより異なるので困る (スコア:1)
パスワードに自身のユーザーIDを含めるのが禁止なのは当然ですが、(組織内の)他人の
ユーザーIDを含めるのも禁止されてるのはどうかと思ったことがあります。
ユーザーIDが氏名から生成されていると、パスワードに例えば自分の好きな芸能人の
名前を使おうとすると引っ掛かる可能性があります。
ただ攻撃者の総当たり用の辞書には主な姓名が含まれているだろうと考えると、当然のポリシー
なんでしょう。
-- う~ん、バッドノウハウ?