読者です 読者をやめる 読者になる 読者になる

匙を投げる

(薬の調合のための匙を投げ出す意)医師が治療の方法がないと診断する。また、物事に救済や改善の見込みがないと断念する。「広辞苑第六版より」

パスワードと使い勝手と安全性と

記事

パスワードの入力時に,パスワードに使える文字数がえらく短かったり,文字種に制限があったり,という場合があります。例えばパスワードが「6文字まで」だったり,「6文字限定」だったり,文字種では,全角の文字は文字コードの関係や,入力時に変換ができないなど…。
扱いが大変になるから半角だけ,半角カタカナはダメ,というのはまだ理解できますが,ハイフン(-)やアンダースコア(_)すらもダメ,とか数字だけなんて制限があったりします。例えば,いくつかのパスワードを使うスタイルをとっていると,サイトによっては,使おうと思っていたパスワードがそうした制限に引っかかって使えない場合があります。
そもそも,そうした制限をかける意味ってあまりないんじゃないかなあ,と思います。もちろん,文字列の長さについては,データの持ち方によっては制限が出てきます。平文でデータベースに格納していれば,設計したカラム長を超えるものは登録できません。
けど,例えばMD5などのハッシュとして記録するのであれば,長さを制限する必要はありませんよね。また,HTMLの入力欄の長さの設定もありますが,たとえ制限をするにしても,6字とか10字といった短さで制限する必要って無いように思います。

技術者視点のユーザビリティ考 - 第16回 パスワードと使い勝手と安全性と:ITpro

ちょう同意。
6文字までとか「_」だの「-」だの使うなってなんなの?どういう理由で制限してるのかしらね?データベースの問題?記事に書いてあるとおり、MD5ハッシュ値*1で記録すれば128ビットなんでしょ?文字列の長さなんて○文字までなんて制限する必要あるのか?最低限のセキュリティ確保のために最低○文字くらいの制限で、長さは気にしなくていいんじゃないの。
本当は、完全にバラバラな文字列がいいんだろうけど、覚えてられないから、たとえば、好きなことわざとか座右の銘とかのローマ字表記だとか、親戚のおばさんの名前とか、制限がなければ長くて覚えやすいパスワードが使える。誕生日なんかよりは安易でない文字列にできる。
とりあえず○文字までとかの無意味な(無意味に見える)制限は止めたらどうか。

*1:MD5の安全性とかはとりあえず置いておく