質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.49%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

パスワード

パスワードは主に情報にアクセスする際に扱われます。主に、アクセス可能なユーザーを限定する手段として使われます。

Q&A

解決済

9回答

15720閲覧

パスワードの文字種を制限する意味について

maisumakun

総合スコア145183

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

パスワード

パスワードは主に情報にアクセスする際に扱われます。主に、アクセス可能なユーザーを限定する手段として使われます。

8グッド

11クリップ

投稿2016/06/21 02:23

何かと問題が多いと言われ続けているパスワードですが、それでもやはりサイトに登録する上で設定を必要とすることがよくあります。

で、セキュリティ上「大文字・小文字・数字を混ぜる」というような指示をされることもあるのですが、ときおり「パスワードには英数字のみを使って、記号は含めないでください」というような指示の付いているサイトがあります。

数字しか打てないATMのような機械でも使うとか、ソフトウェアキーボード入力となっていて文字種が選べない、という状況なら制限の必要性はわかりますが、(他のサービスのログイン用として保管するという筋の悪いパターンは別として)パスワード自体を生データとして保存するのはむしろやるべきことではないですし、ハッシュ化してしまえば元の文字種も関係はしないはずです。

となると、いったいどのような理由があって制限をかけているのかよくわからないのですが、将来的に自分がパスワードを要求するようなシステムを作る際に見落としがあっても困るので、どのような理由が考えられるかご教示いただければ幸いです。

stereo_code, iwamoto_takaaki, KiyoshiMotoki, aaaaaaaa, ai_2013_dev, maxinana, takayukioda, ngyuki👍を押しています

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答9

0

ベストアンサー

ぱっと思いつくのは

ユーザーが普段使い回しているパスワードに記号を追加して設定した場合、
パスワードを忘れてしまう確率が跳ね上がり、
トラブル(アカウントロック等)やサポートコストの増大が確実に見込まれるという仮定があった場合

でかつ、

当該のシステムの性質上

  • 厳格な本人認証(郵送など)が要求されたり、
  • ユーザーのリテラシーが低かったり、
  • 既存システムへの増設によって追加されたシステムであったりして、

確実なパスワード回復が見込めない様なケースだと、普段使わない文字種を制限するケース

というのはあるかと思います。

投稿2016/06/21 02:34

編集2016/06/21 02:44
tanat

総合スコア18711

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2016/06/21 04:48

横から個人的な興味で失礼します。 普段使わない文字種を制限するシステムを構築する実例はあったのでしょうか? 考察なのか、実例なのか興味がありまして。
tanat

2016/06/21 05:03

有名な事例では無く、 あくまで私が関わった案件ですが、 10年位前に既存のブログシステム (専門知識は高いが、ITリテラシーの低いユーザがメインユーザ層) の作り直しを行った際、 要件としてサポートコストの削減があり、 その際はパスワードに使用できる文字数を半角英数字のみに制限したことがあります。
退会済みユーザー

退会済みユーザー

2016/06/21 05:07

サポートコスト削減の実例としてあるのですね。 こういった情報はなかなか実例として知る機会がないので、コメントが非常に嬉しいです。ありがとうございました。
kwy8791

2016/06/28 22:50 編集

私も横からの(ちょっと筋違いな)話をしてしまいますが、Linuxが主流になる前の、昔のUnixでは、telnetでOSパスワードを打ち込む時に、一部記号を打ち込むと、BackSpace(一文字削除)やCtrl-U(前方の入力を全て削除)という特殊な挙動をおこなうものがあったので、年配の方には抵抗感があるかもしれません。 私はHP-UXの10.20を使用していた時にそのことを知らずにハマったことがあります。 この資料の41ページあたりに少し説明があるので。興味がお有りでしたらご一読下さい。
guest

0

ソースが探せなかったのですが、銀行か航空会社で、統合前の昔のシステムに引きずられて、パスワードポリシーを新しいものに出来ないことがあると読んだ覚えがあります。
その記事では文字数の制限だったような気もしますが、同じような理由だとおもいます。

追記

コメント欄にも記載しましたが、航空会社で古いシステムに引きづられた例が見つかりました。
“Q”と”Z”がパスワードに使えない! 格安航空会社ジェットブルーの謎
英数字のみの使用制限どころか、QとZも使えないという制約です。
元々は電話を使用した予約システムによる制限で、それが変更されず新システムでも同じ制限が発生した。との内容です。(今は改善され、英数字のみ使用可となったようです。。。)
ここまで極端な例ではありませんが、古いシステムに引きづられる事は普通にありそうです。

投稿2016/06/21 03:43

編集2016/08/03 03:49
退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2016/06/28 09:14 編集

ソースを探していて、面白い記事に当たりました。 http://developer.cybozu.co.jp/akky/2014/05/system-bans-q-and-z-from-password/ 英数字のみどころか、QとZも使えないという制約です。 英語圏の状況は知識がないのですが、電話に由来したシステムで英数字のみというものはありそうですね。
退会済みユーザー

退会済みユーザー

2016/06/28 09:13

なぜかマイナス評価がついていたので意地になったのはナイショw
iwamoto_takaaki

2016/06/28 15:20

私も、旧システムとの連携しか想像できないので、サニタイズやハッシュの知識が(当時)なかっただけとしか思えないので、そのほかの理由で制限をかるべき理由があった方には是非紹介してほしいですね。
退会済みユーザー

退会済みユーザー

2016/06/28 15:59

tanat さん以外コメント返してくれる人がいなかったのは、ちょっと残念ですね。あんまり聞ける事例じゃないので。
guest

0

サイト等で登録するユーザーというのは、あなたが思っている以上にそういう入力に不慣れな過渡期にあります。
銀行の4桁数字ですら、難しい方がいらっしゃるのです、全角を許容しただけで
全角英数字と半角英数字の混同で、ログインできないと苦情が殺到します。
記号も、カンマとピリオドが区別できないとか、文字数長くすると、憶えられないと言われます。
ですから、使えなければそういうことは起きないのです。

どうあるべきかというのはまた別です。

投稿2016/06/21 03:08

退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2016/06/21 04:49

横から個人的な興味で失礼します。 普段使わない文字種を制限するシステムを構築する実例はあったのでしょうか? 考察なのか、実例なのか興味がありまして。
guest

0

記号入りのパスワードを使いこなせないユーザーはどうせ記号入れなくても使いこなせないので、ユーザーのために文字数を制限しているんだろうかという疑問はあります。

もしかしたら社内のシステムがすでに出来上がっていて、パスワードの形式を変更することでそれを全部見直さなくてはならなくなったり、パスワードを扱う部分を作った社員が何年も前に退社していてブラックボックスになってたり、社内 LAN からログインするときにソフトウェアキーボードを使うことになっていて、それの入力できる文字が限られていたりするのかもしれません。

まあでも結局それはそれぞれの会社で違う事情だと思いますよ。
聞いても教えてもらえないでしょうけど。

投稿2016/06/21 04:58

Zuishin

総合スコア28660

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

サービス提供者側としては、tanatさんのおっしゃるようにトラブルなどのサポートコストを抑えたい考えがありそうです

また、サービス利用者が高齢者やなんらかの障害を持つ人は、「二つのキーの同時押し」が必要な記号入力は操作的にハードルがあがります
そのためにサービス利用をあきらめる人も出るかもしれません

また文字種の多さは記憶を困難にしますので、極端には「パスワードを書いたメモをディスプレイに貼っておく」といった行動をとる恐れがあり、逆に安全性が低下します
(私の知る範囲でも、付箋紙でペタペタ張ってる人います・・・)

英数のみでも、十分な長さがあれば記号まで含めて短いものより強度が出ますので、そういった点からも「利用者が覚えやすくそれなりに強度が出せる範囲の要求」として「英数字のみ」を選択していると思います

投稿2016/06/21 03:42

takito

総合スコア3111

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2016/06/21 04:49

横から個人的な興味で失礼します。 普段使わない文字種を制限するシステムを構築する実例はあったのでしょうか? 考察なのか、実例なのか興味がありまして。
guest

0

特殊文字や記号には、いわゆるコマンドとして利用されるものもあるから、という理由もあるのではと思います。
(SQLコマンドインジェクション、OSコマンドインジェクションなど防ぐため)

ユーザから入力されたものをプログラムが利用する場合、勿論クライアント側、サーバ側でチェックや制御を実装しますが、そもそもそういう文字を許容しないで済むならそうしたい、ということもあると思います。

投稿2016/06/28 05:09

mndk

総合スコア12

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

Microsoftのnetwork/adチームからパスワードに関わるガイダンスが出ています。
そちらを参考にされるといいと思います。

しかしながら、すべてのシステムで適用する必要性はないと思います。

https://blogs.technet.microsoft.com/jpntsblog/2016/05/27/%E3%83%9E%E3%82%A4%E3%82%AF%E3%83%AD%E3%82%BD%E3%83%95%E3%83%88%E3%81%AE%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E3%82%AC%E3%82%A4%E3%83%80%E3%83%B3%E3%82%B9/

投稿2016/06/28 07:50

編集2016/06/28 07:51
Panda-papa

総合スコア12

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

最近、ふと思ったのですが、WAF 対応かもしれないですね。
一部の記号は何かと WAF を騒がせる可能性があるので、WAF のシグネチャ更新で、ある日から突然引っかかるようになってしまったとかありそうです。
その為、予め禁止しているとか。

追記
twitter 上でそれらしき事例が上がっていました。

オムニセブンのパスワードが強制リセットされてたので渋々再設定、<や'がパスワードに使えないのはWAF避けかな?うーんイケてない。

<script></sc までは通るのに<script></scr でレスポンスが帰ってこなくなる。別にパスワードに<や'使わせても良さそうなもんだが、どういうロジックなんだろう。

投稿2017/08/14 06:16

編集2019/08/09 03:08
退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

セキュリティとしての安全性・強度を計算しやすいというのもあるのではないでしょうか。
例えば、半角英数字だと62文字ぐらいですが、大体の文字の使われる割合は同じくらいでしょう。
しかし、仮になにかしらひらがな、全角英数字、漢字、記号が使えたとしましょう。

一概にどうだとは言えないのですが、とくに漢字はすべての漢字が使えるからといってその分だけセキュリティが強くなったかといえば、そうではないかと。

例えば、50000文字ぐらいの文字をさらに使えるとします。
半角英数字で8文字のパスワードは62^8 ≒ 2.2 * 10^14(通り)

5万文字でこれと同じくらいの通り数がある桁数は、log(底,数値)として
8 * log(50000, 62) ≒ 3.052(桁)
(50000^3.052 ≒ 62^8)
なので、(50000^4 > 62^8)ということになりますが、
(さすがに底がでかいと3に丸めるのは誤差が大きいので4として…)

果たして62文字使えるパスワード8桁より50000文字使えるパスワード4桁の方が強いか、と言われると、まあ自分だけでは何とも言えませんが、明らかに弱いと思います。ですが理論上(実際は予測される可能性などを含めると思いますが)同じくらいの強度と計算できます。

要するに、ユーザーが使うパスワードはそう長くはないので、その中である文字が使われる可能性がある程度均等であったほうがいい(強度計算しやすい)のではないでしょうか。

投稿2016/06/30 07:58

編集2016/06/30 08:08
luma

総合スコア183

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.49%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問