Q&A
これ、間違っちゃいないのに、なんで低評価入ってるんだろね^^;
認証について考えるにあたって気になっていることがあります。
パスワードをシステムに登録する際、ハッシュを登録することになると思います。
ということは、もともとユーザーが作成したパスワードが何文字であろうが無関係だと思います。にも関わらず、パスワードに文字数上限が設けられることが多いのはどうしてでしょうか?
何か見落としていないか気になっています。
よろしくお願いいたします。
回答5件
0
少し質問とはずれるんですが、この辺の回答が面白かったです。
パスワードの文字種を制限する意味について
追記
これも面白かった。
モバイルSuica、アプデでパスワード20桁まで対応→内部は旧システム8桁のまま→ログイン不可大量発生中!
タイトルとは逆で、元のシステムが8桁しか対応していなかったものを、内部的にキチンと20桁対応にしたところ問題が発生したということのようです。旧システムに引きづられた例ですね。
投稿2018/09/27 00:18
編集2018/09/27 03:10退会済みユーザー
総合スコア0
0
長過ぎるパスワードは、頭で記憶できないので外部に記録することになり、かえってセキュリティレベルを下げるという考え方があります。
投稿2018/09/27 15:56
総合スコア30933
0
ベストアンサー
パスワードに文字数上限が設けられることが多いのはどうしてでしょうか?
組織によっていろいろ事情はあると思いますが、自分が思いつくのは:
(1) 理由不明だが昔からそうしてきた。
(2) 使っているフレームワークに制限がある。
(3) 他からの流れ。(Windows Live が 16 文字とか)
(4) ハッシュしてない。(実際 ASP.NET の昔のフォーム認証では Clear, Encripted, Hashed が選べます)
・・・などでしょうか。他にもいろいろありそうです。
maximum password length などをキーワードにググってみるといろいろ興味深い記事がヒットすると思いますのでやってみてはいかがでしょう?
例えば下記:
Should I impose a maximum length on passwords?
https://stackoverflow.com/questions/98768/should-i-impose-a-maximum-length-on-passwords
A few Reason for Maximum Password Length
https://www.malwaretech.com/2014/05/the-reason-for-maximum-password-lengths.html
(後者の記事の The Ape Condition Problem とか、前者の記事の画像が個人的に面白かったです)
投稿2018/09/27 02:18
退会済みユーザー
総合スコア0
0
上限を設定しなかったら、、、
長さの10テラバイトのパスワードとか作る人が出る可能性があるかもしれませんね。
投稿2018/09/26 23:52
総合スコア866
0
パスワードをシステムに登録する際、ハッシュを登録することになると思います。
この前提がそもそも間違いですね
投稿2018/09/26 22:01
総合スコア87774
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。