web-dev-qa-db-ja.com

スペースを含むパスワードを終了または開始することができなくなるのはなぜですか?

Googleでスペースで終わるパスワードの使用を許可しないのはなぜですか?

Please don't begin or end your password with a blank space

裏話:同じパスワードを2回使用することなく、多くの異なるWebサイトおよびサービスにわたって異なる非常に強力なパスワードを生成できる暗号を記憶しました。グーグルの場合、私の暗号は最後の文字がスペースであることを要求しています。今、私は自分の暗号に迷惑な例外を作成する必要があります。

これは以前は問題にならなかったので、なぜ今Googleがこれを行っているのですか、これを回避する方法はありますか?

passwordspassword-managementpassword-policygoogle
13
Akiva

パスワードをトリミングして、人々がパスワードをコピーして貼り付ける(安全でない場合がある)プロセスに対処します。

クリップボードは安全なデータストアとは見なされないため、秘密にしておくことについて心配する人はいません。したがって、クリップボードを監視するアプリケーションは、自由に格納できます。たとえば、それを公にアクセス可能なデータファイルに格納できます。実際に誰がクリップボードを見ているのか、彼らがクリップボードを使って何をしているのかがわかりません。ブラウザのようなアプリケーションがパスワードを安全に保つためにどれほど注意深くあるかを考えてください。クリップボードアプリはそのように考えていません。安全なキーストアを使用する->すばらしい。クリップボードの内容をディスクに記録する->あまり良くない。

17
Neil Smithline

コピーアンドペーストの問題を少し掘り下げる:

Microsoft製品、特にOfficeスイートは、Outlookからコピーして他の場所に貼り付けたアイテムに末尾の空白を追加することで支援しようとすることで有名です。これを行う目的は、単語が一緒に実行されないように、コピーと貼り付けの際にカーソルを置く場所に注意を払う必要がないようにすることです。これは、このツールセット内では正常に機能しますが、そのツールセットの外側にブラウザーに貼り付けると、空白が必要かどうかをブラウザーが知ることができないため、無残に失敗します。

次に、Webサイトは、「なぜこの愚かなフォームが機能しないのか」という顧客サポートの問い合わせが殺到するのを防ぐために、この空白を切り詰める必要があります。私はこれを行いますこれを行わない内部Webサイトで作業しているため(Webサイトの対象者は小さなチームとは一般的な消費のためではありません)、そして実際にフォームに貼り付けるたびに、貼り付けられた末尾のスペースをバックスペースして機能させる必要があります。

一部の人々(私は彼らの中にいません)がパスワードのコピーと貼り付けを望まない理由を無視します( http://www.troyhunt.com/2014/05/the-Cobra-effect-thatを参照) -is-disabling.html コピー/貼り付けの禁止がなぜ悪い考えであるかを分析するため)、パスワードをコピーして貼り付けるつもりなら、関係するすべてのソフトウェアがそれを正しく実行していることを確認する必要があります。イライラするつもりです。したがって、Googleはパスでのトラブルを回避し、パスワードの先頭と末尾のスペースを禁止しようとしています。

13
Mike McManus

空白を削除するためです。 thatの理由は不明ですが、珍しくはなく、人間が識別できないことに関連していることがよくあります-あなたと私はそれを知っています

foo bar

真ん中にスペースがありますが、中に何スペースあるかを言うのは難しいです

foobar

それらのいずれかが後続している場合。

productforumsposts から判断すると、この policy は新しいものではありません。

10
gowenfawr

それはおそらくユーザビリティの問題です。

ユーザー名またはパスワードの最初または最後に誤ってスペースを誤って追加することは非常に簡単です。特に、オートコンプリート機能を備えたモバイル、音声で入力するユーザー、スペースを自動挿入する支援技術を使用するユーザー、パスワードのコピーと貼り付け、など.

先日、新しい電話でメールアドレスを入力していたところ、emailフィールドのオートコンプリートバグのため、半角のアドレスがオートコンプリートされ、末尾にスペースが挿入されていました(@-autocompleted_email @gmail.com)そのため、メールアドレスの形式が正しくなく送信できず、スペースを削除するのが面倒でした。

Googleの誰かが、デバイスの一部のサブセットのログイン/パスワードフィールドに開始/末尾のスペースが頻繁に自動的に挿入されることを発見したと思います。

したがって、Googleの誰かがログインをスペースで終了できないため、常に空白の外側を削除することでそれを修正することを決定しました。これはログイン時に発生するため、おそらくパスワードでも発生するため、パスワード内の空白の外側を削除することを考えました。

Akivaの問題で、パスワードがas#gre34jCaDgaioの場合、as#gre34jCaDgaioに設定して、常にas#gre34jCaDgaioと入力すれば、ログインは正常に機能します。

他の多くのサイトが黙ってこれを行っていても私は驚かないでしょう。たとえば、パスワードの最初の8文字のみをチェックする、または大手企業がパスワードから特殊文字を静かに削除するというセキュリティベンダーの多くの安全なアプリケーションに遭遇しました。 Googleは、先頭/末尾の空白がパスワードの一部として処理されないことを事前に通知することにより、安全です。

5
dr jimbob