web-dev-qa-db-ja.com

パスワード文字の大文字ロックを無視する代わりに、パスワードの大文字ロックについて警告するのはなぜですか?

Caps Lockキーがオンになっている場合、多くのログイン画面がユーザーに警告します。最も目立つのは、Windowsログイン画面です。

Caps Lockキーを単に無視して、Caps Lockが無効にされているかのようにパスワードのキー押下を検出することと比較して、これには利点がありますか?

警告が明らかにベストプラクティスであるのはなぜですか?パスワードフィールド内で機能するためにCaps Lockが必要な使用例はありますか? Caps Lockが有効になっているパスワードを入力することを選択するユーザーのかなりの割合がありますか?


警告の理由は明らかです。パスワード文字が非表示になっているため、Caps Lockが誤ってオンにされ、ログインが失敗したときに、ユーザーが気付かない場合があります。
これを回避するには、パスワードを非表示にしない、パスワードの大文字と小文字の複数の変種を受け入れるなどの方法があります。これらは、Caps Lock状態の検出が難しいWebフォームなどの状況でも機能します。

しかし、

  • 隠し文字と大文字と小文字を区別するパスワードが望ましい
  • ターゲットアプリケーションがCaps Lock状態を検出できる

パスワードフィールドのCaps Lock機能を無効にして問題を警告せずに警告を表示する必要があるのはなぜですか?

6
HugoRune

これを望まない主な理由は、原則として、ユーザーのデバイスの標準的な動作を上書きするたびに、ユーザーエクスペリエンスが低下するためです。 。 。特に、何の通知もなくそれを行う場合。

全体として、アプリケーション内では、標準の制御動作は、ユーザーが期待するとおりに動作し続ける必要があります。


さて、この場合、パスワードは一般的にマスクされたままなので、変更は知られていない可能性が高いですが、技術的にも経験的にも、明らかになる方法があります。

例1:多くの新しいテクノロジーにより、「show password」を入力できるようになっています。これにより、変更された動作がすぐに明らかになります(説明はありません)。最良の場合、これは混乱を引き起こし、最悪の場合、キーボードが壊れていると結論付けます。

例2:ユーザーのパスワードが "abc123XYZ"の場合、ユーザーが最後の3文字(モバイルデバイスなど)でCaps Lockを使用し、必要に応じてその他の文字を使用する場合がありました。シフトキーを押したままにします(フルキーボードを使用する場合など)。

パスワードの作成時にcaps lockが抑制された場合、キーが正常に機能することを期待していたため、ユーザーが知らないうちにパスワードが実際に「abc123xyz」に設定された可能性があります。最良の場合、これは混乱を招き、最悪の場合、正しい文字であるはずの文字を入力したにもかかわらず、「不正なログイン試行」が多すぎるためにアカウントがロックされます。

10
talemyn

優れたUIは現在の状態を通知するため、これは良い習慣です。これは警告ではなく、通知です。

パスワードの複数のバリエーションを受け入れるのは本当に悪いことです。あなたは本質的にパスワードの複雑さを軽減しています。

Caps Lockを無効にすると、ユーザーから制御を奪われます。唯一の理由は、警告/通知を表示しないことだけです。

1
Liviu A

これに対する答えは、正しい大文字小文字を入力した場合、または正確に大文字小文字を正しく入力した場合(CAPSがオンの場合)、Windowsはパスワードを受け入れる必要があるということです。

例えばabc123XYZまたはABC123xyz(CAPSがオンの場合)が受け入れられます。

CADユーザーとして、私はCaps Lockをオンにしていることがよくあります。マシンが十分に賢くなく、Caps LockがオンになっているためCaps Lockがオフになっている場合、パスワードを正しく入力しました

それはロケット科学ではありません。

0
Carl

編集:おっと、私は質問を誤解しました。

Caps Lockを「無効」にしたくないのは、このモードが実現できないことをユーザーにどのように正確に伝えるためですか?一部のユーザーは、Shiftを使用して一時的に大文字を強制する方法を知らず、パスワードを入力できなくなる場合があります。

また、特定のアプリケーションでWebサイトの入力フィールドを使用すると、キーボードの機能が使用できなくなることは直感的ではないようです。ユーザーのシステムでCaps Lockをプログラムで無効にして、キーボードのモードフィードバックが適切に調整されるようにするにはどうすればよいですか。 WebサイトがJSコードでそのようなことを実行できた場合、深刻なセキュリティ問題が発生します。


古い回答(トピック外)

パスワードエントロピー(別名)と呼ばれるもののため、大文字はパスワードの小文字と区別されます。パスワード内の情報の有効ビット数。記号のアルファベットを大きくすると、パスワードのエントロピーが増加します*。

大文字の記号を削除すると、パスワードのセキュリティが低下します。 Caps Lockスイッチは mode であり、継続的なユーザーアクションなしで独自に維持されるため、タスクを実行するためにモードが有効であることをユーザーが認識している必要がある状況では、フィードバックを表示する必要があります正常に。


(*これは過度に単純化した見方です。セキュリティ研究の多くの人々は、いくつかのパスワードのいくつかの位置に現れるいくつかの記号の相対的確率を考慮しないことによって、パスワードエントロピーを誤って計算します。それでも、一般的な概念選択する文字が多いほど、パスワードの全体的なエントロピーが高くなる可能性があります

0