dumb-password-rules/dumb-password-rules
パスワードの登録や更新画面で出てきたおかしな制約やエラーを募集している GitHub リポジトリがあります。
あほなパスワードの文字制限を分類
多数の事例が載っていますが、代表的なものをグループ化してみます。
文字種や記号を謎に制限
「% は使えません」「\ は使えません」 – 内部でエスケープしちゃうんですねわかります。ちゃんと作ってあればこんな特例要らないと思うんですが。
「記号で使えるのは ? ! $ €% & * _ = – +. ,:; / () {} [] ~ @ # だけです」
「記号はアンダースコアとハイフンだけ使えます」
「数字や記号は使えません」
「使える記号がありますが、どの記号が使えるかは秘密です」
「パスワードは5-15文字です(が、スペースは文字数としてカウントしません)」
「パスワードに使えない記号は、あなたがそれを入れてみた時だけエラーで教えます」
「パスワードは数字8桁で、0で始まってはいけません」 – 数値型か
「#, %, &, =, /, < などのハッキング文字は使えません」 - ハッキング文字!
長さ指定系
「パスワードは8,9,10文字でなければいけません」
「パスワードは7文字か8文字でなければいけません」
「パスワードは6文字です」 – ATMの暗証番号か
「パスワードは6文字以上です (あとどこにも書いてませんしエラーの原因にも出ませんが最大20文字です)」
「メールアドレスは8文字以上にしてください」 – ユーザーのメールアドレスで選別するの?
「登録フォームのパスワードは最大24文字ですが、実際に使われているパスワードは最初の16文字です(更新フォームで判明)」
技術で解決系
右クリックや Ctrl キーを効かなく(alertが出る)することで、パスワードマネージャーの利用を防ぐ
パスワードを入れる箇所が2か所あるが、コピペやChrome拡張からの自動入力を不可能にすることで、パスワードマネージャーの利用を防ぐ
「パスワードは120日ごとに変更しなければならず、一度使ったパスワードは二度と使えません」
総合力タイプ
「パスワードには記号を含めてください。パスワードには記号は使えません」 どうしろと
「とにかくルール、ルール、ルール!」
顧客や上司がパスワードの文字種について不思議提案をしてきた時に、この事例集を見せて「その発想、やっちゃダメなやつだと笑われてますよ」と言ったら説得できるかもしれません。
via Hacker News