« 情報を大切に。 | Main | 日常の奇跡。 »

Tuesday, November 11, 2008

エラーとセキュア。

思うところありまして、むかーし作ったPayPalのアカウントを有効にしました。パスワード忘れちゃったので再設定…しようとしたら、

新しいパスワードに使用できない文字が含まれています。
パスワードには、辞書にある単語は使用せず、大文字と小文字の両方を含め、最低1文字の記号(1-9、!、*、_など)を使用することを推奨します。
え?ASCIIの英数字しか使ってないよ。記号すら。

いろいろ試したら、パスワードに"password"という文字列が含まれると拒否されるということがわかった。つまり、出すべきエラーメッセージが正しくない。反面、数字のゾロ目なんかには設定できる。

11111111
というパスワードには設定できるが、
6487password1973
にはできない。

これセキュリティの問題かな?

パスワードチェッカー

前者は強度「弱」で後者だと「中」になった。まあこんなもんじゃろう。
そもそもMicrosoftのサイトにパスワードを入れるという行為がセキュアじゃないという指摘はおいといて。

PayPalのサポートによると、

こちらもパスワードの変更をテスト、ご確認いたしましたところ、確かにお客様にご指摘されたように、パスワード設定の際、"password"という文字列は使用できません。"password"を入力されたら、システムは受付できず、自動的にはじかれることになります。それは、アカウントセキュリティ上の原因で、システムがそのように設定されております。お手数をおかけいたしますが、パスワード設定の際、"password"の使用をなるべく避けていただくようお願いいたします
意訳すると「仕様です」ということね。
いや、パスワードにpasswordという文字列が使えないこと自体はいいと思うんです。僕が言ってるのはそういうことじゃなくて、要は正しいエラーメッセーを出せと。素直に「パスワードの強度が不足するため password という文字列は使用できません」とだけ出せばすむ話じゃんか。

ところでPayPalからのメールにサポートの人の署名がついてた。いわゆる日本人の名前じゃなくて西欧風だった。そこは日本語ネイティブ使おうぜよ。

|

« 情報を大切に。 | Main | 日常の奇跡。 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference エラーとセキュア。:

« 情報を大切に。 | Main | 日常の奇跡。 »