「パスワードがmaxlengthを超えてもユーザーは気づかない」へのコメント
「水無月ばけらのえび日記 : パスワードがmaxlengthを超えてもユーザーは気づかない」について、4件のコメントが書かれています。
[8168] Re:「パスワードがmaxlengthを超えてもユーザーは気づかない」
yuu (2013年3月12日 9時49分)
さいきん、いろんなサイトのパスワードを超長いパスワードに変更しまくってたりしてて、実際にmaxlength問題を何度も食らいました。いや、むしろmaxlengthを設定してないにも関わらず、当該サイトのほうで対応している文字数で勝手に切ってパスワードの変更を受け付けてしまうサイトもあって、マジでどうしようかと思いました。
パスワード変更したら二度と入れなくなる的な・・・
何文字まで対応してるとか書いてないところも多くて参った。
[8169] Re:「パスワードがmaxlengthを超えてもユーザーは気づかない」
usu (2013年3月12日 10時21分)
長いパスワードを登録したときには何も警告が出なかったのに、いざログインしようとしたら「パスワードが違います」でハネられるというケースもありますね。
以前某セキュリティ系研究会の参加申し込みシステムでそんな目にあったことがあります。いくらパスワードを正しく入力してもログインできず、仕方なく登録完了通知の写しを添えた問い合わせメールを運営に送ったら、「今回だけ特別ですよ」というありがたいお言葉とともに、登録されたパスワード(ある長さでばっさり切り詰められていた)が平文で返ってきましたw
[8170] Re:「パスワードがmaxlengthを超えてもユーザーは気づかない」
通 (2013年3月12日 16時50分)
3つあるうちの下2つの事情は知りませんが、一番上のフォームに関しては事情が全く違います。
そのPDFでは、いかにも9文字以上が入力できなかったかのような表現がなされていますが、実際はそうではありません。旧フォームでは9文字以上入力できるようにしていたくせに、実は8文字までしか保存していませんでしたというのが実情です。
私なども被害者(敢えてこう表現します)の一人で、15文字程度のパスワードを決めていて、実際にフォームでその15文字程度の入力が可能でした。それが、11月には実は8文字までしか保存されていなかったという旨のメールが届き、ひどく憤慨しました。
記事では、ユーザが気づきにくいという点に関して焦点が当たっているわけですが、この件に関しては、そもそもユーザを欺いてしまっているところに問題があるわけで、より悪質な事案です。
一応、参考URLも。
http://www.excite.co.jp/News/net_clm/20121120/Slashdot_12_11_20_085237.html
[8179] Re:「パスワードがmaxlengthを超えてもユーザーは気づかない」
znz (2013年3月17日 11時13分)
長いパスワードを入力して初めてエラーメッセージに制限が出てくるサイトもありました。
制限があるならはじめから教えてほしかったといつも思います。
「水無月ばけらのえび日記 : パスワードがmaxlengthを超えてもユーザーは気づかない」についてコメントを書く場合は、以下のフォームに記入してください。