僕は右へ行く

適当に書くよ!

仮パスワードに似た文字は使うべきでないか?

ユーザがパスワードを忘れたときの仮パスワードやファイルに自動で設定される暗号化解除のパスワード、
つまりはシステムが自動で発行するパスワードについて、似た文字は使うべきなのかどうか。


似た文字というとこういうのですね。

  • 1とlとI
  • 0とOとo
  • iとj


「iU2pQl1Z9」
とぱっと出されると確かに正確には認識できません。

『言われたとおりパスワード入れたけど動かへんで!』
というリスク、クレームを避ける意味でこれらの対処はしておいた方がいいのでしょうか?


リスクといえば、
上記の8文字が使えないとすると、その分パターン数が落ちてリスクは増えるのでは?
セキュリティの低い方で考えて、半角記号は使えないものとすると、

$ irb
>> 26+26+10
=> 62
>> 62**8
=> 218340105584896

英大文字、英小文字、数字で、8文字のパスワードを作るとすると、218340105584896通り。

$ irb
>> 62-8
=> 54
>> 54**8
=> 72301961339136

72301961339136通り。
1桁しか変わりませんね。問題がないと言えるのでしょうか。



基本若者を相手にするようなサービスなら、コピペを期待して、全文字完全にランダムでパスワードを発行してしまっても良いのでしょうかね?