パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

フレッツ光会員サイトで再び不正ログイン被害、全404万アカウントを凍結」記事へのコメント

  • 元のパスワードに戻せるので元の木阿弥です(・3・)あるぇ~?

    • Re: (スコア:2, すばらしい洞察)

      by Anonymous Coward

      それ以前に、いいかげん「英数字のみで10文字まで」って何とかしてほしい……

      • 文字数を妙に短く制限するところ、記号を使わせないところって多いけど、どうしてなの?
        ウェブアプリのログイン認証において、プログラム上、制限を設けて楽になることって何なのでしょう。思いつかないのですが。

        親コメント
        • by Anonymous Coward on 2013年04月13日 20時17分 (#2363070)

          記号を使わせないのは、(誤った)サニタイズ [takagi-hiromitsu.jp]によるものではないかな。

          親コメント
          • by Anonymous Coward

            単純にパスワードは付箋に書いて貼り付けておくものではなく、
            記憶することが前提だからではないでしょうか。
            記号の方が覚えやすい例もある。たしかに。
            おそらく流行するのは顔文字を使ったパスワードの横行が予測できます。
            顔文字アタックの脆弱性を突かれた馬鹿ニュースの題材になると・・・
            開発する側は普通そこまでは想定するのでは?

            # 因果理由が無いものなんてありません

        • by Anonymous Coward on 2013年04月13日 18時06分 (#2363043)

          昔おバカなプログラマが SQL インジェクション可能な脆弱性を作っていたころの名残かもしれませんね。
          「怒れるサル」と同様な現象かもしれず。

          親コメント
        • by Anonymous Coward on 2013年04月13日 23時59分 (#2363178)
          ガラケー用にそういうことしてたことはありますね。

          # 記号や英語がパスワードボックスに入力しにくい
          親コメント
          • by Anonymous Coward

            入力しにくいのは理解出来ますが、だからといって使用制限するのはどうかと思いますね。
            めんどうくさいから英数だけで、というのはユーザーが自分で決めればいいだけですし。

            # 逆に最近、セキュリティ意識の高い(?)ウェブサービスだと、パスワードは何文字以上、英数記号をすべてまぜろ、と強制してくるところもある。

            • by Anonymous Coward

              その両者が混ざると同じ生成アルゴリズムでパスワードを作れないのでマジめんどくさい

        • by Anonymous Coward

          きっとそう。
          中途半端に頭のいい人が仕様に関わってるから。
          「パスワードで許容する文字の種類について定義してください」と、
          「なんで記号が存在するんですか?理由を述べてください」のコンボ。
          返答が面倒な下請け会社は、最初から記号を含めないのではないかと妄想しました。

          • by Anonymous Coward

            使用可能な記号を羅列するのも面倒だからねぇ。
            と思ったが、使用不可にしないとまずい記号ってあったかな。
            なんか盲点があるような気がして不安になってきた。

            という思考を経て「制限したほうが楽だわ」になります。

            • 仕様不可にしないとまずいってわけじゃないけど、
              パスワードに記号使ってて101キーボードに換わったときに困ったことはある。

              #ユーザ名は固定でパスワード欄しか入力項目がないシステムにて

              親コメント
              • by Anonymous Coward

                # 内容が内容なんでAC
                それがあるんで自分は101と106で共通になる記号しか使わないようにしてます。

            • 「使用不可にしなければならない記号」はないけど、エスケープに失敗したり、
              検証を間違えたりすると、どこで下らんバグが発生するか分からんから、
              可能な限り記号は入れないことにしてる。動作確認もそんだけ面倒になるし。

              ただでさえ人手も開発費も足らんとゆーのに。そんな所に無駄な工数かけられない。

              >ウェブアプリのログイン認証において、プログラム上、制限を設けて楽になることって何なのでしょう。思いつかないのですが。
              記号を減らすのは重要。
              記号を入れるのはセキュリティ上でもユーザビリティでも必要性はない。
              文字数は減らしても増やしてもそんなに影響は無い。(数百文字とか言われたら別だけど)

              だから
              - 記号は除去。
              - 文字はアルファベット大文字/小文字と数字
              - 文字数は20~30文字
              にするのが多かったな。

              親コメント
              • by Anonymous Coward

                記号の有無で辞書攻撃の成功率は桁違いに変わると思いますが・・・。
                ユーザビリティも変わります。カナ打ちなので、ローマ字入力状態でカナ入力って手を使うのですが、“,”、“.”、“;”、“:”、“]”、“-”など、
                いくつかの記号が引っかかります。
                ユーザビリティに必要ないと決めつけるのはどうかと思います。

              • by Anonymous Coward

                > 記号の有無で辞書攻撃の成功率は桁違いに変わると思いますが・・・。
                迷信でしょ。

                根拠も無く、こういうこと言う人が多すぎて困る。

            • 内部でやりとりする経路(フロントエンドからバックエンドDBまで)でのエスケープとかは、まあ気にはなりますよね。

              # それで制限していいかは別なんだけど。

              まあ、英数+ASCIIの記号内がいいけど、英数だけでも15以上OKになってれば文句はいわんのだが
              # 普段は14字ランダムを生成してる

              --
              M-FalconSky (暑いか寒い)
              親コメント
            • by Anonymous Coward

              羅列された記号を使ったらログインできなくなったことがあるので、「制限してくれたほうが楽だわ」になっています。

              • by Anonymous Coward

                うわ、分かる分かる。
                #これやっちゃうと、かなり恥ずかしいんだわ。初歩的ミスといえば初歩的ミスなんだけどね。orz

                どこかで処理を間違えてると、「特定の記号を使った時だけログインできない」みたいなことも
                起こらないとは限らない。記号を入れなければ、どんな阿呆に作らせても(他のバグは出ても)
                まずそういうバグは出ないので、記号を入れるのは可能な限り止めた方が良い。

                その辺りのリスクも想定できずに、むやみやたらと記号を入れたがるのは、
                プログラミングスキルの無い人の場合が圧倒的に多いと思う。

              • by Anonymous Coward

                そんなバグを入れる奴こそプログラミングスキルがないに決まってるのに何この逆切れ。しかも完全に開発者の論理。

        • by Anonymous Coward

          普通に考えて、パスワードはソルト付でハッシュ化するのが当たり前になってるので、
          入力文字列はなんでもいいはずなんだけどね。もちろん、マルチバイトでも。文字コードは注意が必要だろうけど。
          特に日本のお固い業界(銀行などの金融機関)が、文字種・文字数制限が多いイメージ。
          一般の人が使用する率が高いからかな?
          そう考えると、いまだに銀行のキャッシュカードのパスワードが数字4桁っていうのもね。

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

処理中...