- ベストアンサー
Webサイトのパスワードの書式強制について
- Webサイトはなぜ異なるパスワードの書式を要求するのか?頭の中でパスワードを覚えきれない問題について。
- 運用しているパスワードの数が多い場合、パスワード管理ツールの活用が重要。
- 強制する必要があるのか、自由なパスワード設定を許容するべきかについての考察。
- 春原 なの(@ymda)
- お礼率60% (1820/2985)
- ネットワーク
- 回答数4
- ありがとう数4
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
要求してくる理由は#1さんの仰る通りです。 個人的には、以下の3種類のパスワードがあれば問題無いと思っております。 ・数字のみ4文字 ・英数(大文字、小文字、数字混合)8文字 ・英数記号(内3種類、記号のみ必須)8文字 この3パターンのパスワードを使っていれば99%くらいはカバーできる気がします。 まぁ同じパスワードを使いまわすのはどうかってな話はありますが、 現実的には使い回さないと無理なので、3~5パターンくらいで網羅性の高いパスワードを覚えておけばいいんじゃないでしょうか。 ちなみに、「保障しませんよ」と規約に書いても、個人情報保護法的にそれは許されませんので、 ユーザ情報を5000件以上保持するサイト(会社)ではその規約に効力は発生しません。 蛇足ですが、実際にはハッシュ化されたパスワードを抜かれたら、記号入れてようが8文字程度ではすぐに解析出来てしまう為、正直あまり意味が無い気がしています・・・。 ブルートフォースアタックが可能なログインシステムをどうにかするのが先だろ!ってサイトは未だにありますよね。
その他の回答 (3)
- blanc210
- ベストアンサー率55% (5/9)
ユーザが登録したパスワードは、(まともなシステムであれば)不可逆の暗号化を施されてデータベースに登録されます。 ですので、 「ほら、あなたはこんな弱いパスワードを入れたから不正アクセスされたんじゃないですか?」 と言うことができません。 他の回答者さんもおっしゃってるように非難されるのは運営者なので、そういうリスクを回避するために複雑なパスワードを求めるのでしょうね。 とはいえ、ユーザにとってはめんどくさいのも確かで、それが自サービス登録への障壁となりますので、 リスク回避とユーザの利便性、さらにサービスの内容(お金を取り扱うか、個人情報を取り扱うか、など)等々を秤にかけて、求めるパスワード強度を決定することになります。 個々のサービスがそれぞれのセキュリティポリシーに沿って決定するのでばらばらになるのでしょうね。
お礼
ありがとうございます。 質問にあるように、 「強制でなく、保障しませんよでもいいので」 とあるとおり、クラックされても知らないよオプションが あっても良いのではないか、ということです。 このチェックをしていると、会員情報の1つとして保存され サポートの時に、サポート側がリスクを回避できるのではないかと
補足
補足欄ですみません。 例えば、以下のようなものも、該当します。 定期的にパスワードを変更して下さいと利用規約にあったとして パスワードを変更しなくても、警告が出るのみそのままずっと使える サイトと、完全に利用できなくなるサイト(ともともとその警告を 出さないサイト)とありますので
- yana1945
- ベストアンサー率28% (742/2600)
私は、1992年からメールを始め、 質問者と同じ経験を何回もしています。 私の、対処の仕方は、 英数字混在(記号可)US/LS(Shift)識別の パスワードを要求するWebsiteに切り替えていきました。 (取引銀行、ネット銀行、証券会社も変えました) 東京オリンピックの後、コンピュータのオンライン化が 始まり、数字4桁のパスワードで事足りていた時代には、 ハッカーはいませんでした。 現在のインターネット時代のセキュリティ保護は、 出来るだけ複雑なパスワードを要求する方法が主流ですが、 指紋認証等を採用する、金融機関が有ってもよさそうに 思います。 1つのシステムで、弱い(ハックされ易い)パスワードを 認めると、庶民はそこに流れるため、システムの安全上の 品質が、一番弱い所で落ちていきます。
お礼
ありがとうございます。 >英数字混在(記号可)US/LS(Shift)識別の >パスワードを要求するWebsiteに切り替えていきました。 具体的に、これはどのような形でしょうか? ネット銀行とかカードあたりは、全部管理を一元化しているので パスワードは2つで済むのですが、そこから、振込のパスワードを 覚えていないという銀行が多数あり、ほとんどが入金確認専用の 口座になっているのが事実です。 #全部暗証番号は同じものを使用しています。暗証番号紛失防止で >東京オリンピックの後、コンピュータのオンライン化が この当初は、確かにいりませんでいたが、インターネットがはやる 前からも、キャッシュカードから暗証番号を抜き出して・・ というパターンが結構あった感じもしましたね。 それで、後に暗証番号をカードに保存しない形態にはなりましたが 指紋認証がPCだけでなく、外付け機器としてスマホやガラケーでも 利用できるようになると、かなりかわるかもしれませんね。 パスワードマネージソフトを結局使うことにはなるものの 指紋登録は年1回は必要ですが、全デバイスでこれらのパスワードの 紛失から守ることができる感じもします。
補足
補足欄ですみません。 例えば、以下のようなものも、該当します。 定期的にパスワードを変更して下さいと利用規約にあったとして パスワードを変更しなくても、警告が出るのみそのままずっと使える サイトと、完全に利用できなくなるサイト(ともともとその警告を 出さないサイト)とありますので
- t_ohta
- ベストアンサー率38% (5238/13705)
弱いパスワードを認めて、もし不正アクセスなどの事故が起きたら、世間から非難されるのは利用者では無くサービス運営側です。 なので、運営側としては自分たちのセキュリティーポリシーで定めた形式での利用を求めます。
お礼
ありがとうございます。 質問に書いてありますが、「保証しませんよ」という前提も含みますので セキュリティーポリシーを受け入れなくても、サービスを提供してもらう方法は あるのか?という問いも今回は含んでいます。
お礼
ありがとうございます。 質問に書きました、9種類は、例ではありますが、他にも書式例が ありまして、かなり多くのパスワードが必要になっています。 #例外的なサイトに多い部分があります。 例えば。 0123 でないといけない例、012345 でないといけない例、01234567 でないといけない例 abcde890 でないといけない例(自由英数字) Abcde890 でないといけない例(とりあえず英大英少を混在必須) AbcDe890 でないといけない例(英大文字の最小文字数指定) AbcD0123 でないといけない例(数字文字の最小文字数指定) ・・・その他、これの組み合わせも含めますと、いろいろとあります。 サイトごとにID(メールアドレスも)を変えて、パスワードを可能な限り 1本化する方法で個々のサイトを識別していたのですが、かなり難しく なってしまった面があります。 #メールアドレスは、catchall をそのために有効にしてあります。 メインパスワードは4つ覚えていて、古いサイトは、この4つのうちのどれかで 使いまわしがきいてはいたのですが、特におととしあたりから、パスワードが 厳しくなるということで、ほとんど覚えていないのが現状です。 パスワード自体はハッシュであっても、ハッシュに変換する前のパスワードがどこかに 一瞬でもメモリ上に存在するわけですので、その時点で、意志を問うことも 不可能ではないかとは思いますが、やはり法律ですか・・・