web-dev-qa-db-ja.com

パスワードの最大長を短くする技術的な理由は何ですか?

なぜこんなに多くのWebサイトがパスワードの長さを厳密に制限しているのか(常に8文字、最大8文字など)といつも思っていました。これらは私が実際に彼らのセキュリティを気にしている銀行や他のサイトである傾向があります。

私は理解していますmost人々は「password」や「123456」のような短いパスワードを選ぶでしょうが、これを強制する技術的な理由はありますか? 1Passwordのようなアプリケーションを使用すると、私のパスワードのほとんどすべてがfx9@#^L;UyC4@mE3<P]uztまたは、ランダムに生成された、推測しそうにない長い文字列。

  • Webサイトがパスワードの長さに厳密な制限を適用する特定の理由はありますか(8または10のように、100000000が問題になる可能性がある理由を理解しています...)?
819
enderland

追加の制限(一般に、数字のみが受け入れられます)を使用すると、限られた容量のインターフェイスを介してパスワードを入力できる(または、必要に応じて許可される)ことが、動機となることもあります...

そのため、多くの銀行では、Webアクセスパスワードにこのような制限を設けて、テンキー(ATM、電話など)しかないレガシーシステムからのアクセスを許可しています。

3

私が知っているすべての銀行サイトには、パスワードの入力に3回失敗するとアカウントをロックするピンのようなシステムがあります。つまり、長いパスワードは入力ミスや忘れが生じやすいため、逆に非表示になる可能性があります。特に、それらを見ることができないためです(また、表示された場合、セキュリティがさらに悪化します)。

あなたが取るなら。 4つの数字を入力するスマートフォンのピンシステムでは、3回の試行で正しく推測される可能性は0.03%です。 8桁の場合、正しい順序で推測される可能性(シーケンスがランダムに生成され、愚かに選択されない場合)が非常に小さくなるため、70億人のパスワードを推測しようとすると、平均で209人のパスワードを推測するだけです。文字や特殊文字が許可されている場合、推測の可能性はさらに小さくなり、それぞれ1 ^ -4または1 ^ -6の係数が掛けられます。

ユーザーがパスワードを選択することを許可され、半予測的な方法でそれらを選択する場合でも、3回の試行で特定のアカウントをクラックすることは不可能であり、次のような大量のデータがある場合でも、平均はあまり向上しません。家族全員の誕生日、家族全員の名前、およびその人のすべての友人。そして、あなたはまた、大規模な人口のためにそのような信頼できる包括的なリストを持っている可能性は低いです。

1