奇想天外なパスワード規則のウェブサイトを掲載する『Dumb Password Rules』 43
ストーリー by nagazou
マイルール 部門より
マイルール 部門より
ウェブサービスで用いられているパスワードの入力規則を集めたウェブサイト「Dumb Password Rules」が話題になっているらしい。このDumb Password Rulesで紹介されている変なパスワード入力規則の例としては、「(パスワードは)7で始まる必要があります」というもの。「大文字2文字以上、小文字2文字以上、数字2文字以上、句読点2文字以上」「aを@、iを!、oを0といったありがちな置換をした単語の使用禁止」といった細かい点にまで指摘したものまで存在するとのこと。いかにとち狂ったパスワードルールが存在しているかが一望できるとのこと。すでにウェブサイトの登録数はすでに300近くに及んでいるそうだ(INTERNET Watch)。
ポリシーを統一してくれ (スコア:2)
・英大文字しか使えない(あんまない)
・英大文字小文字を両方必ず使え
・数字は使えないぞ
・数字は必ず入れろ
・8文字以上にしろ
・24文字以下な
ポリシーが違うサイトがあるのが問題なのでもうJIS規格でパスワードポリシーを統一してほしい
もしくはサイト管理者同士で相撲を取って優勝したサイトのポリシーに統一してほしい
Re:ポリシーを統一してくれ (スコア:2)
(実際、使える記号も統一されて無くて、「必ず入れろ」と言われると困ることが)
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
Re: (スコア:0)
酷いと「記号を入れろ、ただしどの記号が使えるかは秘密」とか有るからな。
パスワード自動生成で;や:が含まれると通らないとか起きる。
Re: (スコア:0)
パスワードに向いている記号とかも定めて欲しいかも。
いっそ使うながシンプルなのかもしれないけど、簡単に複雑性上げられるからユーザーとしては使いたい。
何でもいいとか適当やってると漢字とか絵文字とか問題起きたりする。
Re: (スコア:0)
>漢字とか絵文字とか問題起きたりする
MBCは無理でしょう。Mac/Windowsで濁音半濁音のエンコードが違う、みたいな問題がワラワラ湧いてくるはず。
7bit ASCIIのPrintable charから使えない文字を抜いた、Password Charsetを定義するのがいいと思います。
エスケープとスペースは確実にダメで、クオーテーションもかなりダメ。あとダメな文字はなんだろう
Re: (スコア:0)
23,24,40,5B-5E,60,7B-7Eは国によって違うことがあるけど、クオーテーションがダメってクソプログラマが存在する以外に理由あるの?
Re: (スコア:0)
コンソールで入力することを想定するとクオーテーションは使わない方がいい
shellがクオーテーションを含む文字列の解釈で失敗する
Re: (スコア:0)
コマンドライン引数にパスワード書くのか
Re: (スコア:0)
SQLとか。
インジェクションの話じゃなくて、Oracleのsql*plusなんかでCREATE USER文実行するとかそんなん。
sql*plusだと&も避けたほうがよかったり。
Re: (スコア:0)
できれば、ASCIIキーボードと、JISキーボードで、位置が変わらない記号がいいな。
Re:ポリシーを統一してくれ (スコア:1)
MacBookはファームウェアパスワード(BIOSパスワードみたいなもの)の入力がUSキーボード配列固定
JIS配列モデルのMacBookでもUS配列固定、ただし、パスワード設定する際はJIS配列という謎仕様
もちろんセキュリティに配慮されて入力・設定時の表示は*なので、この挙動を知らないと詰む。
Re: (スコア:0)
ポリシーを統一したらそれで推測による強度が下がってしまう場合も
処理系によっては使えない文字も
むずいよね
サイト毎に別々の認証方式の時代 (スコア:1)
いつまで続くのだろうか。
公開鍵認証にして、共通の秘密鍵でログインしたい。
# 個人のコントロールの効かない、SNSのアカウントでログインするのなんて勘弁な。
Re: (スコア:0)
FIDOが近いがまだ対応サイト少ないからなぁ。
「大文字2文字以上、小文字2文字以上、数字2文字以上、句読点2文字以上」 (スコア:1)
これAlibaba [dumbpasswordrules.com]ですが、
英文は「Your password should consist of at least 2 uppercase letters, 2 lowercase letters, 2 numbers and 2 punctuation marks.」でたしかにそうとしか読めないです。
しかし日本語版 [alibaba.co.jp]では「大文字・小文字・数値・記号から2種類以上」なので、単に英文の誤訳だと思われます。
(Alibaba使ったこと無いから本当がどちらかはわからない)
ざっと見たところ、他にもそんなかんじのとか、あとはただの難癖もいくつか紛れているかんじでした。
もちろん6桁以下 [dumbpasswordrules.com]とか明らかにNGなのもたくさんありますけどね。
くるってはいないけど (スコア:0)
マイナンバーカードのパスワードが、英大文字と数字でn(8?)文字
それとは別に4桁数字のPINも設定しないといけない
英大文字と数字しか使えないってのも最近あまり見ないなと思った
Re:くるってはいないけど (スコア:2)
利用者電子証明書暗証番号(まあ、カード自体のパスワードみたいなものか)
券面事項入力補助用暗証番号(券面に書かれている情報を読み取ることをOKするため)
住民基本台帳用暗証番号(住民基本台帳との互換性? これは使ったことがない)
※以上すべて同じ番号でもOK
16桁の英数字は
電子署名暗証番号
なので、それぞれ独立したものですよ。
あと、電子署名暗証番号は、実は、「大文字小文字を区別しない」じゃないんだろうか。
私は、数字と英子文字で作って、そのまま使えている。
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
Re: (スコア:0)
> あと、電子署名暗証番号は、実は、「大文字小文字を区別しない」じゃないんだろうか。
設定の際は大文字だけど、入力の際は小文字でもOKと書いてあったのでそうです。
とある外資系保険会社のウェブサイト (スコア:0)
パスワードの仕様を6桁固定から8桁固定に変更したから再設定するようにとの案内。
新しいパスワードを設定しようとするとエラー。
当時は記号が使えないことも珍しくなかったので、英数字だけにしてもエラー。
極小文字サイズの説明を隅々まで読んだところ、旧仕様が英数字6桁で、新仕様は英字4桁+数字4桁だった。
おまけで、3か月ごとに要変更。
※現在の仕様とは異なります。
原稿用紙 (スコア:0)
3枚以上
Re: (スコア:0)
お礼は3行以上?
Re: (スコア:0)
でも内部では40ビットのハッシュ
各ルールの (スコア:0)
空間の広さ算出して8桁何でもありと比較してみてほしい
Numロック (スコア:0)
レッツノートだと起動時に問答無用でNumロックがかかるので、BitLockerパスワード入力で
引っかかる人多数。内輪の話ですが。
おかげでパスワードはNumロックに係わらない部分のキーで入力できるモノにする習慣が付きました。まる。
ルールを設定した側の意図はともかくとして (スコア:0)
このDumb Password Rulesで紹介されている変なパスワード入力規則の例としては、「(パスワードは)7で始まる必要があります」というもの。
何も考えずに他所で使っているのと同じパスワードを使いまわそうとすると、元のパスワードの先頭が7でない限り弾かれる、と考えるとちょっと面白い。
漏れた時に出所が一発でばれる、というのもありそうだけど。
Re: (スコア:0)
悪意のある者が流出したパスワードで他サービスへのログインを試みる時、7で始まるパスワードがあれば7を取り除いたパスワードでもチャレンジしそう。
Re: (スコア:0)
ヴァン・ヘイレンの契約書(茶色のM&M'sは取り除くこと)みたいな感じで、入力規則、ひいては利用規約などをちゃんと読んでいるかの確認にはなりそうです。
Re:ルールを設定した側の意図はともかくとして (スコア:1)
入力規則をちゃんと読んでないと引っかかるトラップとしてはPayPalのパスワードがなかなか凶悪。
入力規則では20文字までと書いてあるけどパスワード登録フォームでは21文字以上でも何もエラーにならず登録できる。
でもいざログインしようとすると登録したパスワードではログインできない。
登録したパスワードの頭20文字でもログインできない。
絶対にログインできないパスワードになるという。
Re: (スコア:0)
そんな具体的に書いてあると試したくなっちゃうだろ
パスワードは不要 (スコア:0)
定期的に変更することを強要するサイトが残っていることもあるし、
記号を必ず求めるや不思議な規則がサイトごとに異なる
サイトごとに異なるパスワードを指定する必要があり、
記憶に相当の負荷がかかる。
パスワードマネージャーを使うという手段は、
パスワードマネージャーがゴミ [security.srad.jp]で、それを入れることがセキュリティホールを作る [it.srad.jp]リスクがあるのでNG。
パスワードを使わなくとも、セキュリティを確保できて忘れる等のリスクが少なく実績のある手段がある。
TOTP?違う、秘密の質問とその答えだ。
Re:パスワードは不要 (スコア:1)
秘密の質問とその答えマネージャーが必要になるな。
Re:パスワードは不要 (スコア:2)
秘密の質問を要求しやがるサイトに登録したとき、ランダムな文字列を答にして、パスワードマネージャーに登録した
次にログインしようとしたとき…質問の順番違うじゃん!2番目の質問の答、4番目の質問の答と登録したのが全部ワケワカラン状態に
Re: (スコア:0)
そもそも質問内容が全然秘密じゃねえ!とかあるしな。
Re: (スコア:0)
子供のころのニックネームとか、
初めて通った学校の名前とか
これが秘密になりえると思えるということは
・質問を考えた人がボッチで、ニックネームどころか名前も誰にも覚えてもらえていない。
・質問を考えた人はこれを利用する人(つまり私と君)がボッチだと思っている。
のどちらかだと思うのだけど、どっちなんですかね?MicrosoftWindowsさん。
Re: (スコア:0)
まあ質問が秘密じゃ無くてもなんとかなりますよ。
質問と答えの組を数百~数千登録させてその中から10個ぐらいを使い、
質問が出てから5秒以内に答えないと次の質問に移り、
何百回に一回ぐらいは「今何問目?」という質問も混ぜ、
パーフェクトじゃないと次の大会^H^Hのページに遷移しないと。
名付けてアタック25方式。
Re: (スコア:0)
タイムショックでは…
Re: (スコア:0)
出題された順番でなく、普通は質問文とその答えで登録しないか。
でも、どこか忘れたがランダムな文字列入れたら日本語じゃない(半角がダメらしい)と弾かれたことあるなぁ。
秘密の質問を考えだした奴はタヒねと改めて思った瞬間だった。
Re: (スコア:0)
リアルでタヒねと書かなければならなくなるとは思わなかった。
しかもこの制限作る原因となった当事者は丸付き文字とか使って相変わらず平然と書き込んでるし
Re: (スコア:0)
増井先生のEpisoPass [episopass.com]?
私はもう疲れた (スコア:0)
Chromがお勧めするパスワードを設定するし記憶もChromに任せる
Re: (スコア:0)
ブラウザーが生成するパスワードがサイトの謎規則に合わないと設定できない。できなければいいほうで、他のコメントでも言われているけど設定できるが二度とログインできなくなることもある
Re: (スコア:0)
設定できないことがあるのは理解してるし
そういう場合は使えない文字を消して使える文字を足すくらいのことはする
一方、設定できるがログインできないってのは実装の問題であって運用の問題ではない
昔のみずほ銀行オンライン (スコア:0)
7文字以上は切り捨てだったので、8文字のパスワードで申し込んでもそのまま切り捨てられて問題にならなかったのに、改定されて文字数が多くなったのでパスワードを普通に入れたらエラーになった………なんてこともありましたね。
※今までで最低だったのは最低2文字でオッケーだった某FX会社