私はパスワードの使い回しを防ぐために全てのサイトで同じパスワードにならないよう注意しています。
特定のルールに基づくことで、忘れていても大きな問題が発生しません。
ルールを把握している私個人はパスワードを覚えていなくても、その場で算出できるようにしています。
某大手サイトでパスワード設定を行う際に文字数上限が12文字でした。
それが原因でルールに基づいたパスワードが作成できませんでした。
下記の理由以外で、少ない文字数上限が何故現代でも活用されているのか伺いたいです。
軽く調べたところ下記の理由があると思っています。
・システムそのものが古いものから更新されていない(アルゴリズムがcrypt?など)
・ハッシュ化のコストを抑えるため
↑これは128文字以下など、12文字よりは文字数が大きくても成立するのでは?と思っています。
意見交換にしていしまいましたが、Q&Aです。
誤解を招いてしまった場合は申し訳ないです。
・人が手入力する手間
・マジカルナンバー7±2 という人間の本質
・パスの8桁以下はブルートフォースで一瞬だが、
そもそもサイト認証などは数回間違うとロックするのでその理論は成り立たない
・2段階認証やパスキーが主流となっている
BunaImageさん
ご回答いただきありがとうございます!
桁数や文字数が増えると人間が覚えられない。
ということは分かります。
ただそれが理由で文字数上限を少なくすることは直結しないように思えてしまいます。
(文字数下限を減らすことには直結しますが)
またサイト認証の回数制限や2段階認証も簡易的なパスワードを許容することには繋がります。
しかし、強力なパスワードを制限する理由にはなっていないように感じてしまっています。
個人的感覚で申し訳ないのですが、文字数「上限を減らす」理由にはならないように感じてしまいました。。。
たぶん、大多数の人は問題になってないからだと思います。
私見ですが、
技術的問題ではなく、その某大手サイトが
128文字よりは文字数が少なくても成立するのでは?
と考えているのでしょう。
開発会社に
開)問題ないけど、投資して文字数増やしますか?
と聞かれたら
-> 問題なければそのままで・・・
開)いままで12文字でしたが投資して128文字に増やしますか?
-> 問題なかったので12文字のままで・・・
となるのではないでしょうか?
PS.
文字数「上限を減らす」理由にはならないように感じてしまいました。。。
@BunaImageさんは、文字数「上限を減らす」理由でなく、文字数「上限を増やす」理由が無い事を箇条書きにしていると思います。
128文字までしなくても現実問題として12文字で問題ないと考えられているのでしょう。
下記の理由以外で、少ない文字数上限が何故現代でも
開発者都合なのと、個人的には増えたところで(現代では)意味は無いと考えます。
上限を増やしてパスワードの強度を上げたいという考えは否定しません。
ただ上限いっぱいまでの長いパスワードを造る方の方が少ないと思えますし、ブラウザが高性能になってパスワードマネージャー(或いは拡張機能など)でより強固なパスワードを生成、そして保存までできるようになっています。
それに加えて鍵の長さは表面的な問題のみしか対応しません。
私がクラッキングする側だとしたら、わざわざパスワード解析するより、CDNのJSに細工してキーロガーを造る、脆弱な部分に怪しい文字列を送信するなどして、裏から手を回して情報を抜き取った方が早いです。
そうなればパスワードがいくら長く強固でも意味は無いですからね。
そういう事故が増えたこともあって近年では二段階認証を導入するサイトも増えましたし、それが文字数上限を増やさない(大きくしない)理由とのひとつにも成り得るでしょう。
文字数ではないのですが文字種に関してずいぶん昔調べた中で面白かった記事を紹介しておきます。
"Q"と"Z"がパスワードに使えない! 格安航空会社ジェットブルーの謎
某大手サイトというのがどちらか知りたいですね。
Webサイト以外の利用があるケースだとパスワードポリシーがおかしなものになる可能性はあると思います。
稼働システムの歴史が分かると理由が分かるかもしれません。
@YearCentury さん、ご回答ありがとうございます。
文字数変更するだけでも開発会社にお金発生しますもんね・・・・
128とは言いませんが16文字くらいは入力できるようになって欲しい、と思って伺いました。
結局変更コストがかかるのであれば、パスワードの仕様自体は変わらないですね
(二段階認証みたいに追加の認証方法が追加されることはあると思いますが)
@STSynthe さん、ご回答ありがとうございます。
セキュリティ的なことを考えると一定の文字数以上は同じですよね。。。
個人的な「覚える」という手間を減らすためのUX的な考えから増やしてほしいですが、パスワードを使いまわしたりするのが普通なんでしょうね(良くないですけど)
スマホで二段階認証込みでログインするとMicrosoft Authenticatorみたいなアプリを立ち上げる場合があるので面倒なんですけどねぇ💦
@te2ji さん、ご回答ありがとうございます。
面白い内容の共有ありがとうございます!
まあ一度動いてしまったシステムの仕様を変えるのがいかにたいへんか、という話の一つなのかもしれません。
サイトの最後の一文が今回の疑問に対する回答と同じに感じました。
某大手サイトというのがどちらか知りたいですね。
楽天銀行さんが6~12文字の仕様になっています。
取引時に別の認証が必要なので、セキュリティは(素人意見ですが)ちゃんとしているんだと思います。
金融系はなぜかセオリー通りの対策を行わない傾向があるので、何らかの独自仕様が邪魔をしている可能性がありますね。
以前パスワードポリシーを変更しているにも関わらず、上限が変更になっていないので、システム的な制限は何かしらありそうです。
パスワードの定期変更の導入について
10年以上前の金融機関だと、パスワードの連絡に郵便を使用していたケースもあった気がするので、その文面上の制限とかワリとおかしな理由なのかもしれません。
余談)楽天銀行はパスワード文字数にデグレが入ってるという相談を見つけました。
楽天銀行のパスワードの文字数制限が変わった?アナウンスあった?
連係している数十年前の設計の基幹システムで、パスワードをN文字以上保持できないから……みたいなパターンもあるかもしれません。
