web-dev-qa-db-ja.com

パスワードにQまたはZを許可しないのはなぜですか?

Jetblueのパスワード要件 他の厳しい要件の中で、次のことを指定します。

QまたはZを含めることはできません

キーボードの左側が壊れることは非常に一般的であると言われていない限り、私はこれの論理的な理由を理解することはできませんが、「A」も許可しません:)

このセキュリティ要件の理由は何ですか?

230
Mark Mayo

キーパッドにQとZの文字がなかったとき です。セキュリティに関しては、理由はありません。古いシステムが原因です。

明確にするために:

以前は電話でパスワードを入力できました。下の写真のように、一部の電話にはQまたはZの文字がありませんでした。

enter image description here
画像提供: flickr.comのBill Bradford

このため、これらの文字を含むパスワードは許可されませんでした。彼らはこの要件を何らかの理由で変更していません:レガシーシステム、不十分なドキュメント、または単に気にしません。

271
Eric Lagergren

古い電話 、「Q」または「Z」の文字はありませんでした。7は「PRS」、9は「WXY」です。したがって、ユーザーが電話のボタンを使用してパスワードを入力できるようにしたい場合は、「Q」と「Z」で問題が発生しました。それらを許可しないことは、簡単な解決策です。

20
mishadynin

Jetblue via CNNからの直接確認があります。

アメリカン航空とIBMはSABERを開発し、1960年代後半に大規模な電話でリアルタイムに旅行の予約を行えるようにしました。ただし、当時、ロータリーとタッチトーンの電話にはQまたはZがありませんでした。

番号1は長距離電話に属し、オペレーターは0でした。これで、アルファベット全体をカバーする8つの数字が残りました。 Bell Telephone Companyは、各番号に3文字を割り当て、最も使用頻度の低い2文字を省略しました:「Q」と「Z」。それが航空会社がアルファベット限定の電話ベースの予約システムに依存するようになった方法です。

セイバーはまだ存在しており、JetBlueを含むほとんどの航空会社と提携しています。 JetBlueはCNNに対し、SabreにアクセスするJetBlue従業員には「QまたはZなし」のルールが依然として適用されると語った。 JetBlueは、会社のパスワードに関するFAQに記載されているように、パスワードの制限をTrueBlueメンバーに渡しました。

ルールは静かに削除され、アクティブではなくなりました。現在、8〜20文字であれば、ほぼすべてのパスワードを作成できます。 JetBlueはCNNに、FAQページを更新していると語ったが、同社がルールをいつ変更したかについてはコメントしなかった。

QとZが許可されました。これはSabreのレガシーシステムホールドオーバーではありませんが、小売顧客向けでした。

14
Ellie Kesselman

他の人々がコメントしたように、それは電話ダイヤルとTouchTone(tm)パッドの残り物であり、最初はQまたはZがなく、さまざまな国のさまざまなメーカーによって追加されたときに一貫した場所がなく、オプションを必要としたいくつかのシステムがありますコンピューターのキーボードでパスワードを設定しますが、後で電話のキーパッドからもログインします。

1990年頃に行ったBell Labsでのユーザーインターフェイス設計会議では、「QとZをTouchTone(tm)パッドに配置する場所」の問題に関するセッションが1回ありました。スピーカーはそれを「死なない問題

都合の良い時期だったので、かなりの人でにぎわい、誰もが直感的に理解して理解できる問題でした。問題と解決策は単純で恣意的であり、あなたが選択したものはどれもそれに問題があるか、時にはより多くの問題があります。

8
user46642

純粋な推測ですが、QとZは 英語で最も頻繁に発生しない文字 です。おそらく 近くのテーブルの電話 からの入力文字のストリームを見ている攻撃者に、QとZはランダムに生成されたパスワードを送信する可能性があります。

5
hurrymaplelad

基本的に、これら2つの文字のパスワードを禁止する明確な技術的理由はありません。

そうは言っても、JetBlueは(JetBlueからの確認なしに確実に知ることは不可能です)、次のいずれかになる可能性があります。

  1. そのような禁止を指示するビジネスロジック(私はあなたと同じように、理由を理解することはできませんが)
  2. これらの文字またはWebアプリの使用を妨げるシステムのレガシーコードは、ユーザーアカウントを、そのような禁止が実施されている別のレガシーシステムにインポートする可能性があるため、Webアプリにその要件を「バブルアップ」します。これは、古いAS/400(IBM iSeries)またはメインフレームシステムとインターフェイスするWebアプリでは珍しくありません。

最近のほとんどのWebプラットフォームでは、ASCIIセット内のほとんどの文字をエスケープできるため、通常、パスワードからの文字の禁止は、企業が適切にエスケープするようにコードを更新したくないためと考えられます。ユーザーが提供する入力。YMMV

パスワードの強度に関するウィキペディアの記事( http://en.wikipedia.org/wiki/Password_strength )によると、文字を禁止するだけで、指定されたパスワードのエントロピーを削減し、ブルート攻撃を容易にします。 -力の亀裂。したがって、技術的な観点から見ると、JetBlueのパスワードポリシーは、実際にはハッキングしやすいパスワードを備えたシステムになっているようです。

残念ながら、サイトにポリシーの公式説明を提供してくれるJetBlue担当者がいない限り、これらはすべて推測にすぎないと思います...

その理由は、複数のキーボードレイアウトがある環境では、管理者の作業が少ないためです。

AZERTYおよびQWERTYキーボードレイアウトを考慮すると、Q - AW - Zおよび; - Mを除いて、すべてのキーは同じです。

したがって、パスワードのQWAZMを避けることは、異なるキーボードレイアウトでの入力を容易にするため、役立ちます。

もちろん、数字と特殊文字も入​​力する必要があり、それらはすべてレイアウトごとに異なる場所にあるので、とにかくそれらの文字を除外することはあまり役に立ちません。

3
informatimago