パスワードの文字種を制限する意味について

ソースが探せなかったのですが、銀行か航空会社で、統合前の昔のシステムに引きずられて、パスワードポリシーを新しいものに出来ないことがあると読んだ覚えがあります。
その記事では文字数の制限だったような気もしますが、同じような理由だとおもいます。

追記

コメント欄にも記載しましたが、航空会社で古いシステムに引きづられた例が見つかりました。
“Q”と”Z”がパスワードに使えない! 格安航空会社ジェットブルーの謎
英数字のみの使用制限どころか、QとZも使えないという制約です。
元々は電話を使用した予約システムによる制限で、それが変更されず新システムでも同じ制限が発生した。との内容です。（今は改善され、英数字のみ使用可となったようです。。。）
ここまで極端な例ではありませんが、古いシステムに引きづられる事は普通にありそうです。

サイト等で登録するユーザーというのは、あなたが思っている以上にそういう入力に不慣れな過渡期にあります。
銀行の4桁数字ですら、難しい方がいらっしゃるのです、全角を許容しただけで
全角英数字と半角英数字の混同で、ログインできないと苦情が殺到します。
記号も、カンマとピリオドが区別できないとか、文字数長くすると、憶えられないと言われます。
ですから、使えなければそういうことは起きないのです。

どうあるべきかというのはまた別です。

記号入りのパスワードを使いこなせないユーザーはどうせ記号入れなくても使いこなせないので、ユーザーのために文字数を制限しているんだろうかという疑問はあります。

もしかしたら社内のシステムがすでに出来上がっていて、パスワードの形式を変更することでそれを全部見直さなくてはならなくなったり、パスワードを扱う部分を作った社員が何年も前に退社していてブラックボックスになってたり、社内 LAN からログインするときにソフトウェアキーボードを使うことになっていて、それの入力できる文字が限られていたりするのかもしれません。

まあでも結局それはそれぞれの会社で違う事情だと思いますよ。
聞いても教えてもらえないでしょうけど。

サービス提供者側としては、tanatさんのおっしゃるようにトラブルなどのサポートコストを抑えたい考えがありそうです

また、サービス利用者が高齢者やなんらかの障害を持つ人は、「二つのキーの同時押し」が必要な記号入力は操作的にハードルがあがります
そのためにサービス利用をあきらめる人も出るかもしれません

また文字種の多さは記憶を困難にしますので、極端には「パスワードを書いたメモをディスプレイに貼っておく」といった行動をとる恐れがあり、逆に安全性が低下します
（私の知る範囲でも、付箋紙でペタペタ張ってる人います・・・）

英数のみでも、十分な長さがあれば記号まで含めて短いものより強度が出ますので、そういった点からも「利用者が覚えやすくそれなりに強度が出せる範囲の要求」として「英数字のみ」を選択していると思います

特殊文字や記号には、いわゆるコマンドとして利用されるものもあるから、という理由もあるのではと思います。
（SQLコマンドインジェクション、OSコマンドインジェクションなど防ぐため）

ユーザから入力されたものをプログラムが利用する場合、勿論クライアント側、サーバ側でチェックや制御を実装しますが、そもそもそういう文字を許容しないで済むならそうしたい、ということもあると思います。

Microsoftのnetwork/adチームからパスワードに関わるガイダンスが出ています。
そちらを参考にされるといいと思います。

しかしながら、すべてのシステムで適用する必要性はないと思います。

https://blogs.technet.microsoft.com/jpntsblog/2016/05/27/%E3%83%9E%E3%82%A4%E3%82%AF%E3%83%AD%E3%82%BD%E3%83%95%E3%83%88%E3%81%AE%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E3%82%AC%E3%82%A4%E3%83%80%E3%83%B3%E3%82%B9/

最近、ふと思ったのですが、WAF 対応かもしれないですね。
一部の記号は何かと WAF を騒がせる可能性があるので、WAF のシグネチャ更新で、ある日から突然引っかかるようになってしまったとかありそうです。
その為、予め禁止しているとか。

追記
twitter 上でそれらしき事例が上がっていました。

オムニセブンのパスワードが強制リセットされてたので渋々再設定、<や'がパスワードに使えないのはWAF避けかな？うーんイケてない。

↓

<script></sc までは通るのに<script></scr でレスポンスが帰ってこなくなる。別にパスワードに<や'使わせても良さそうなもんだが、どういうロジックなんだろう。

セキュリティとしての安全性・強度を計算しやすいというのもあるのではないでしょうか。
例えば、半角英数字だと62文字ぐらいですが、大体の文字の使われる割合は同じくらいでしょう。
しかし、仮になにかしらひらがな、全角英数字、漢字、記号が使えたとしましょう。

一概にどうだとは言えないのですが、とくに漢字はすべての漢字が使えるからといってその分だけセキュリティが強くなったかといえば、そうではないかと。

例えば、50000文字ぐらいの文字をさらに使えるとします。
半角英数字で8文字のパスワードは62^8 ≒ 2.2 * 10^14(通り)

5万文字でこれと同じくらいの通り数がある桁数は、log(底,数値)として
8 * log(50000, 62) ≒ 3.052(桁)
(50000^3.052 ≒ 62^8)
なので、(50000^4 > 62^8)ということになりますが、
（さすがに底がでかいと3に丸めるのは誤差が大きいので4として…）

果たして62文字使えるパスワード8桁より50000文字使えるパスワード4桁の方が強いか、と言われると、まあ自分だけでは何とも言えませんが、明らかに弱いと思います。ですが理論上（実際は予測される可能性などを含めると思いますが）同じくらいの強度と計算できます。

要するに、ユーザーが使うパスワードはそう長くはないので、その中である文字が使われる可能性がある程度均等であったほうがいい（強度計算しやすい）のではないでしょうか。