スレッド内全記事表示 (記事 538 からのスレッド)

96 (2003年8月7日 13時42分)

なぜ4桁の悪しき慣習がそのままなのかについて、勝手に推測。

4桁で既にお忘れになるあまり記憶力のよろしくない方が多い。→桁を増やすと対応が多くなる。→被害の発生の確率とその損害と、増える対応によってかかるコストとを比べて、現状では後者の方が金額が大きい。→よって現状維持。

ということでは？　なんの解決にもなってませんが。

ばけら (2003年8月7日 13時50分)

>4桁で既にお忘れになるあまり記憶力のよろしくない方が多い。→桁を増やすと対応が多くなる。→被害の発生の確率とその損害と、増える対応によってかかるコストとを比べて、現状では後者の方が金額が大きい。→よって現状維持。

　御意。それは間違いなくありますね。最近良く見かけるパスワードリマインダ (秘密の質問を入力させるやつ) も個人的には嫌なのですが、この手のコスト減のために導入しているのだと思います。

　ただ、問題なのは「短いパスワードを使う人がいる」ということではなくて、「パスワードの選択肢の幅が狭すぎる」ということなのです。忘れっぽい人が自らの意思で短い物を設定するのは問題ないのですが、長いパスワードが使えないと選択の幅が狭くなるわけで、総当りのコストがとても低くなっているという……。

　これをたとえば「4桁 *以上* の数字」などとするだけでも、だいぶ強くなるのではないかと思います。

yuu (2003年8月7日 14時47分)

まあよしんば譲ってこの際 4桁でも良しとしよう、という前提であっても、せめてアルファベットも指定できると良いのに… とよく思いますね。

えむけい (2003年8月7日 15時19分)

>まあよしんば譲ってこの際 4桁でも良しとしよう、という前提であっても、せめてアルファベットも指定できると良いのに… とよく思いますね。

文字種を増やしたらSQLインジェクションやXSSが発現するとか【謎】。

ばけら (2003年8月7日 16時4分)

>文字種を増やしたらSQLインジェクションやXSSが発現するとか【謎】。

　それはパスワードをエコーしちゃう時点でちょっと……。

96 (2003年8月8日 1時42分)

>御意。それは間違いなくありますね。最近良く見かけるパスワードリマインダ (秘密の質問を入力させるやつ) も個人的には嫌なのですが、この手のコスト減のために導入しているのだと思います。

「例：母親の名前」という問いに「例：マルゲリータ」という答えとか用意しちゃって、まったく思い出せなくなってしまっています。下手にその場の思いつきで凝ると大変です。

えむけい (2003年8月8日 5時32分)

>>文字種を増やしたらSQLインジェクションやXSSが発現するとか【謎】。

>　それはパスワードをエコーしちゃう時点でちょっと……。

SQLインジェクションはエコーしなくても発生するのでだいたいあんしんです【謎】。そもそもパスワードを数字4桁にしちゃうくらいですからエコーバックくらいは当たり前です【謎】。

ばけら (2003年8月8日 12時4分)

>SQLインジェクションはエコーしなくても発生するのでだいたいあんしんです【謎】。

　御意。ってむしろぜんぜん安心できませんけれども。

新生鳩丸掲示板♯