水無月ばけらのえび日記

なぜ4桁の悪しき慣習がそのままなのかについて、勝手に推測。

4桁で既にお忘れになるあまり記憶力のよろしくない方が多い。→桁を増やすと対応が多くなる。→被害の発生の確率とその損害と、増える対応によってかかるコストとを比べて、現状では後者の方が金額が大きい。→よって現状維持。

ということでは？　なんの解決にもなってませんが。

>4桁で既にお忘れになるあまり記憶力のよろしくない方が多い。→桁を増やすと対応が多くなる。→被害の発生の確率とその損害と、増える対応によってかかるコストとを比べて、現状では後者の方が金額が大きい。→よって現状維持。

　御意。それは間違いなくありますね。最近良く見かけるパスワードリマインダ (秘密の質問を入力させるやつ) も個人的には嫌なのですが、この手のコスト減のために導入しているのだと思います。

　ただ、問題なのは「短いパスワードを使う人がいる」ということではなくて、「パスワードの選択肢の幅が狭すぎる」ということなのです。忘れっぽい人が自らの意思で短い物を設定するのは問題ないのですが、長いパスワードが使えないと選択の幅が狭くなるわけで、総当りのコストがとても低くなっているという……。

　これをたとえば「4桁 *以上* の数字」などとするだけでも、だいぶ強くなるのではないかと思います。

まあよしんば譲ってこの際 4桁でも良しとしよう、という前提であっても、せめてアルファベットも指定できると良いのに… とよく思いますね。

>まあよしんば譲ってこの際 4桁でも良しとしよう、という前提であっても、せめてアルファベットも指定できると良いのに… とよく思いますね。

文字種を増やしたらSQLインジェクションやXSSが発現するとか【謎】。

>文字種を増やしたらSQLインジェクションやXSSが発現するとか【謎】。

　それはパスワードをエコーしちゃう時点でちょっと……。

>御意。それは間違いなくありますね。最近良く見かけるパスワードリマインダ (秘密の質問を入力させるやつ) も個人的には嫌なのですが、この手のコスト減のために導入しているのだと思います。

「例：母親の名前」という問いに「例：マルゲリータ」という答えとか用意しちゃって、まったく思い出せなくなってしまっています。下手にその場の思いつきで凝ると大変です。

>>文字種を増やしたらSQLインジェクションやXSSが発現するとか【謎】。

>　それはパスワードをエコーしちゃう時点でちょっと……。

SQLインジェクションはエコーしなくても発生するのでだいたいあんしんです【謎】。そもそもパスワードを数字4桁にしちゃうくらいですからエコーバックくらいは当たり前です【謎】。

>SQLインジェクションはエコーしなくても発生するのでだいたいあんしんです【謎】。

　御意。ってむしろぜんぜん安心できませんけれども。