質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.85%

  • セキュリティー

    410questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

  • パスワード

    30questions

    パスワードは主に情報にアクセスする際に扱われます。主に、アクセス可能なユーザーを限定する手段として使われます。

パスワードの文字種を制限する意味について

解決済

回答 9

投稿

  • 評価
  • クリップ 9
  • VIEW 5,647

maisumakun

ユーザーランキング総合1位

何かと問題が多いと言われ続けているパスワードですが、それでもやはりサイトに登録する上で設定を必要とすることがよくあります。

で、セキュリティ上「大文字・小文字・数字を混ぜる」というような指示をされることもあるのですが、ときおり「パスワードには英数字のみを使って、記号は含めないでください」というような指示の付いているサイトがあります。

数字しか打てないATMのような機械でも使うとか、ソフトウェアキーボード入力となっていて文字種が選べない、という状況なら制限の必要性はわかりますが、(他のサービスのログイン用として保管するという筋の悪いパターンは別として)パスワード自体を生データとして保存するのはむしろやるべきことではないですし、ハッシュ化してしまえば元の文字種も関係はしないはずです。

となると、いったいどのような理由があって制限をかけているのかよくわからないのですが、将来的に自分がパスワードを要求するようなシステムを作る際に見落としがあっても困るので、どのような理由が考えられるかご教示いただければ幸いです。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 9

checkベストアンサー

+8

ぱっと思いつくのは

ユーザーが普段使い回しているパスワードに記号を追加して設定した場合、
パスワードを忘れてしまう確率が跳ね上がり、
トラブル(アカウントロック等)やサポートコストの増大が確実に見込まれるという仮定があった場合

でかつ、

当該のシステムの性質上

  • 厳格な本人認証(郵送など)が要求されたり、
  • ユーザーのリテラシーが低かったり、
  • 既存システムへの増設によって追加されたシステムであったりして、

確実なパスワード回復が見込めない様なケースだと、普段使わない文字種を制限するケース

というのはあるかと思います。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/06/21 13:48

    横から個人的な興味で失礼します。
    普段使わない文字種を制限するシステムを構築する実例はあったのでしょうか?
    考察なのか、実例なのか興味がありまして。

    キャンセル

  • 2016/06/21 14:03

    有名な事例では無く、
    あくまで私が関わった案件ですが、
    10年位前に既存のブログシステム
    (専門知識は高いが、ITリテラシーの低いユーザがメインユーザ層)
    の作り直しを行った際、
    要件としてサポートコストの削減があり、
    その際はパスワードに使用できる文字数を半角英数字のみに制限したことがあります。

    キャンセル

  • 2016/06/21 14:07

    サポートコスト削減の実例としてあるのですね。
    こういった情報はなかなか実例として知る機会がないので、コメントが非常に嬉しいです。ありがとうございました。

    キャンセル

  • 2016/06/29 07:50 編集

    私も横からの(ちょっと筋違いな)話をしてしまいますが、Linuxが主流になる前の、昔のUnixでは、telnetでOSパスワードを打ち込む時に、一部記号を打ち込むと、BackSpace(一文字削除)やCtrl-U(前方の入力を全て削除)という特殊な挙動をおこなうものがあったので、年配の方には抵抗感があるかもしれません。
    私はHP-UXの10.20を使用していた時にそのことを知らずにハマったことがあります。
    この資料の41ページあたりに少し説明があるので。興味がお有りでしたらご一読下さい。

    キャンセル

+4

サイト等で登録するユーザーというのは、あなたが思っている以上にそういう入力に不慣れな過渡期にあります。
銀行の4桁数字ですら、難しい方がいらっしゃるのです、全角を許容しただけで
全角英数字と半角英数字の混同で、ログインできないと苦情が殺到します。
記号も、カンマとピリオドが区別できないとか、文字数長くすると、憶えられないと言われます。
ですから、使えなければそういうことは起きないのです。

どうあるべきかというのはまた別です。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/06/21 13:49

    横から個人的な興味で失礼します。
    普段使わない文字種を制限するシステムを構築する実例はあったのでしょうか?
    考察なのか、実例なのか興味がありまして。

    キャンセル

+3

ソースが探せなかったのですが、銀行か航空会社で、統合前の昔のシステムに引きずられて、パスワードポリシーを新しいものに出来ないことがあると読んだ覚えがあります。
その記事では文字数の制限だったような気もしますが、同じような理由だとおもいます。

追記

コメント欄にも記載しましたが、航空会社で古いシステムに引きづられた例が見つかりました。
“Q”と”Z”がパスワードに使えない! 格安航空会社ジェットブルーの謎
英数字のみの使用制限どころか、QとZも使えないという制約です。
元々は電話を使用した予約システムによる制限で、それが変更されず新システムでも同じ制限が発生した。との内容です。(今は改善され、英数字のみ使用可となったようです。。。)
ここまで極端な例ではありませんが、古いシステムに引きづられる事は普通にありそうです。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/06/28 18:14 編集

    ソースを探していて、面白い記事に当たりました。
    http://developer.cybozu.co.jp/akky/2014/05/system-bans-q-and-z-from-password/
    英数字のみどころか、QとZも使えないという制約です。
    英語圏の状況は知識がないのですが、電話に由来したシステムで英数字のみというものはありそうですね。

    キャンセル

  • 2016/06/28 18:13

    なぜかマイナス評価がついていたので意地になったのはナイショw

    キャンセル

  • 2016/06/29 00:20

    私も、旧システムとの連携しか想像できないので、サニタイズやハッシュの知識が(当時)なかっただけとしか思えないので、そのほかの理由で制限をかるべき理由があった方には是非紹介してほしいですね。

    キャンセル

  • 2016/06/29 00:59

    tanat さん以外コメント返してくれる人がいなかったのは、ちょっと残念ですね。あんまり聞ける事例じゃないので。

    キャンセル

+2

サービス提供者側としては、tanatさんのおっしゃるようにトラブルなどのサポートコストを抑えたい考えがありそうです

また、サービス利用者が高齢者やなんらかの障害を持つ人は、「二つのキーの同時押し」が必要な記号入力は操作的にハードルがあがります
そのためにサービス利用をあきらめる人も出るかもしれません

また文字種の多さは記憶を困難にしますので、極端には「パスワードを書いたメモをディスプレイに貼っておく」といった行動をとる恐れがあり、逆に安全性が低下します
(私の知る範囲でも、付箋紙でペタペタ張ってる人います・・・)

英数のみでも、十分な長さがあれば記号まで含めて短いものより強度が出ますので、そういった点からも「利用者が覚えやすくそれなりに強度が出せる範囲の要求」として「英数字のみ」を選択していると思います

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/06/21 13:49

    横から個人的な興味で失礼します。
    普段使わない文字種を制限するシステムを構築する実例はあったのでしょうか?
    考察なのか、実例なのか興味がありまして。

    キャンセル

+2

記号入りのパスワードを使いこなせないユーザーはどうせ記号入れなくても使いこなせないので、ユーザーのために文字数を制限しているんだろうかという疑問はあります。

もしかしたら社内のシステムがすでに出来上がっていて、パスワードの形式を変更することでそれを全部見直さなくてはならなくなったり、パスワードを扱う部分を作った社員が何年も前に退社していてブラックボックスになってたり、社内 LAN からログインするときにソフトウェアキーボードを使うことになっていて、それの入力できる文字が限られていたりするのかもしれません。

まあでも結局それはそれぞれの会社で違う事情だと思いますよ。
聞いても教えてもらえないでしょうけど。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

+2

特殊文字や記号には、いわゆるコマンドとして利用されるものもあるから、という理由もあるのではと思います。
(SQLコマンドインジェクション、OSコマンドインジェクションなど防ぐため)

ユーザから入力されたものをプログラムが利用する場合、勿論クライアント側、サーバ側でチェックや制御を実装しますが、そもそもそういう文字を許容しないで済むならそうしたい、ということもあると思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

+1

Microsoftのnetwork/adチームからパスワードに関わるガイダンスが出ています。
そちらを参考にされるといいと思います。

しかしながら、すべてのシステムで適用する必要性はないと思います。

https://blogs.technet.microsoft.com/jpntsblog/2016/05/27/%E3%83%9E%E3%82%A4%E3%82%AF%E3%83%AD%E3%82%BD%E3%83%95%E3%83%88%E3%81%AE%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E3%82%AC%E3%82%A4%E3%83%80%E3%83%B3%E3%82%B9/

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

0

セキュリティとしての安全性・強度を計算しやすいというのもあるのではないでしょうか。
例えば、半角英数字だと62文字ぐらいですが、大体の文字の使われる割合は同じくらいでしょう。
しかし、仮になにかしらひらがな、全角英数字、漢字、記号が使えたとしましょう。

一概にどうだとは言えないのですが、とくに漢字はすべての漢字が使えるからといってその分だけセキュリティが強くなったかといえば、そうではないかと。

例えば、50000文字ぐらいの文字をさらに使えるとします。
半角英数字で8文字のパスワードは62^8 ≒ 2.2 * 10^14(通り)

5万文字でこれと同じくらいの通り数がある桁数は、log(底,数値)として
8 * log(50000, 62) ≒ 3.052(桁)
(50000^3.052 ≒ 62^8)
なので、(50000^4 > 62^8)ということになりますが、
(さすがに底がでかいと3に丸めるのは誤差が大きいので4として…)

果たして62文字使えるパスワード8桁より50000文字使えるパスワード4桁の方が強いか、と言われると、まあ自分だけでは何とも言えませんが、明らかに弱いと思います。ですが理論上(実際は予測される可能性などを含めると思いますが)同じくらいの強度と計算できます。

要するに、ユーザーが使うパスワードはそう長くはないので、その中である文字が使われる可能性がある程度均等であったほうがいい(強度計算しやすい)のではないでしょうか。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

0

最近、ふと思ったのですが、WAF 対応かもしれないですね。
一部の記号は何かと WAF を騒がせる可能性があるので、WAF のシグネチャ更新で、ある日から突然引っかかるようになってしまったとかありそうです。
その為、予め禁止しているとか。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.85%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • セキュリティー

    410questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

  • パスワード

    30questions

    パスワードは主に情報にアクセスする際に扱われます。主に、アクセス可能なユーザーを限定する手段として使われます。