Hotmailのパスワードは先頭16文字だけが認証に使われる 68
ストーリー by headless
steveballmer@outlook.comからのメール 部門より
steveballmer@outlook.comからのメール 部門より
Hotmailにログインする際、パスワードの先頭16文字だけを入力するように表示されることが本家/.で話題になっている(The Next Webの記事、
本家/.)。
現在、Hotmailにログインしようとすると「Microsoft アカウントのパスワードは、16 文字までの長さにします。16 文字より長いパスワードをお使いの場合は、最初の 16 文字を入力してください。」と表示される。Microsoftアカウントの設定画面でも、新たに16文字以上のパスワードを設定することはできない。
MicrosoftがOutlook.comのサービスを開始した際、Microsoftアカウントのパスワードは最大16文字とされており、Yahoo!アカウント(最大32文字)やGoogleアカウント(最大200文字)と比べて短いことが批判されたが、既存アカウントにも適用が開始されたようにも見える。ただしMicrosoftによれば、Windows Live IDのパスワードは以前から16文字で、それ以上の文字はログイン時に無視されていたようだ(Microsoft account Help & How-toの記事)。
現在、Hotmailにログインしようとすると「Microsoft アカウントのパスワードは、16 文字までの長さにします。16 文字より長いパスワードをお使いの場合は、最初の 16 文字を入力してください。」と表示される。Microsoftアカウントの設定画面でも、新たに16文字以上のパスワードを設定することはできない。
MicrosoftがOutlook.comのサービスを開始した際、Microsoftアカウントのパスワードは最大16文字とされており、Yahoo!アカウント(最大32文字)やGoogleアカウント(最大200文字)と比べて短いことが批判されたが、既存アカウントにも適用が開始されたようにも見える。ただしMicrosoftによれば、Windows Live IDのパスワードは以前から16文字で、それ以上の文字はログイン時に無視されていたようだ(Microsoft account Help & How-toの記事)。
abc123 (スコア:5, おもしろおかしい)
123456「関係ないね」
password「全くだ」
Re: (スコア:0)
確かに。
流出したHotmailのパスワードを分析、最多は「123456」 [mynavi.jp]
Re: (スコア:0)
正直16文字は多い
せいぜい6~8文字が限界
Re:abc123 (スコア:1)
パスワードをランダムな文字の組み合わせにしなければいけないというのはたった6~8文字しか使えない場合の苦肉の策にすぎない。
https://xkcd.com/936/ [xkcd.com]
16文字とか中途半端で最悪。
Re:abc123 (スコア:1)
そんな長いパスワードを許してくれるサイトなんてまれなんだから、
結局短くて強いパスワードも使わざるをえない。
だったらパスワード管理ツール使ったほうが、
楽だし安全なんじゃないのかなぁ?(使ってないけど)
もっとも、地元地方銀行のネットバンキング、
パスワードは4桁の数字しか許してくれないんだけどね。
バカなの?十八銀行。
Re:abc123 (スコア:1)
親和銀行を使えというお告げなんだよきっと。
長崎のメーンバンクシェア1, 2位 (合計シェア80%以上) は十八銀行と親和銀行らしいから。
http://www.tdb.co.jp/report/watching/press/pdf/s100801_85.pdf [tdb.co.jp]
参考までに長崎メーンバンクシェア1%以上の銀行 (表1の7位まで)を"銀行名 ワンタイム"でググッた結果、情報が出るのはこんな感じ。
親和銀行: http://www.shinwabank.co.jp/personal/service/directbanking/security/onetime/ [shinwabank.co.jp]
たちばな信用金庫: http://www.shinkin.co.jp/t1942/cib/docs/service/service.html [shinkin.co.jp] (普通の使い方と意味違う?)
長崎銀行: http://www.nagasakibank.co.jp/kojin/pdf/manual-1.pdf [nagasakibank.co.jp]
西日本シティ: http://www.ncbank.co.jp/direct/otp/index.html [ncbank.co.jp]
九州ひぜん信用金庫: http://www.hizeshin.co.jp/hib/rule/index.php [hizeshin.co.jp]
佐賀銀行: http://www.sagabank.co.jp/service/ibanking/manual/sumafo.pdf [sagabank.co.jp]
こうして見ると、十八銀行のセキュリティへの投資の低さが目につくほど。
でも、市場シェアが1位だとそこにあぐらをかいてあんまりセキュリティに対する投資なんてしないものなのかも。
三大都市銀行でもシェア1位の東京三菱UFJ銀行は今年になってやっとOTP対応だし。
1位 東京三菱UFJ銀行: 2012年 http://direct.bk.mufg.jp/info_news/20111220_onetimepw/index.html [bk.mufg.jp]
2位 三井住友銀行: 2007年 http://www.smbc.co.jp/news/j600034_01.html [smbc.co.jp]
3位 みずほ銀行: 2008年 http://www.mizuhobank.co.jp/company/release/2008/pdf/news080219_1.pdf [mizuhobank.co.jp]
ちなみに、シェアの順位は帝国データバンクのこの資料から (http://www.tdb.co.jp/report/watching/press/pdf/p111106.pdf)
OTPをサポートしていないインターネットバンキングなんて死ねばいいと思う。
Re:abc123 (スコア:1)
いや、17文字にしてほしい。
そうすれば日本人的には5・7・5で区切って覚えれば覚えやすい。
Re: (スコア:0)
失効したクレカの番号をパスワードにしているから、16 桁ならぴったりだわ。
ちなみに、8 文字のランダムな英数記号と 16 桁のランダムな数値のエントロピーはほぼ同じ。
6,634,204,312,890,625 (95^8) < 10,000,000,000,000,000 (10^16)
Re:abc123 (スコア:1)
クレカの番号には構造があってどんな組み合わせも可能なわけではないと思うが。どこの楽天ISBNだよ。
Re: (スコア:0)
#2237030のACが誰か特定できればそういう返しも有効なんだろうけれど。
Re:abc123 (スコア:1)
16桁のクレカの最後の番号はcheck digitだし、頭六文字は発行会社の識別に使われるようになっている。
http://en.wikipedia.org/wiki/Bank_card_number [wikipedia.org]
だから、「クレカの番号=16桁のランダムの数値」では無い、ってことが言いたいのでは。
そして「16文字のパスワードを入力して下さい」と言われると16文字からクレカを連想して、
その番号を入れるというのは結構ある気がするし、パターンを攻撃者に狙われる可能性は高いよね。
Re: (スコア:0)
数字のみで許してくれる所はすくない
学習能力 (スコア:2)
すごい既視感があるんですけど。
なるほど (スコア:1)
>Windows Live IDのパスワードは以前から16文字で、それ以上の文字はログイン時に無視されていたようだ
私はパスワードが17文字で、長いことログインできない状況が続いてました。
この記事みて、最初の16文字(つまり最後の1文字を入れない)ことで、久しぶりに入れるように・・・
(オフトピ)googleパスワードは100文字まで (スコア:1)
だったはずなんだけど、変更された?
> Googleアカウント(最大200文字)
おやくそく (スコア:1, オフトピック)
16文字丁度だとどうなるの、っと。
OCN よりマシ (スコア:1)
8文字に比べたらマシだよ。
OCN のメールに関する説明のページ [ocn.ne.jp]
6文字以上、8文字以下の半角英数字
実際には、多くの記号文字は使えたけど、少なくとも去年の時点で8文字までだったのはホント。
16 文字までの長さにします。 (スコア:0)
翻訳にカネかけてない雰囲気。
# 一国のためだけに翻訳にコストかけるだけの重要性がもはや日本にはないということなんだろうけど。
Re: (スコア:0)
その論法だと、日本が金持ちだった昔はもっとまともな翻訳がなされていたことになる。
> メモリが"read"になることはできませんでした。
Re:16 文字までの長さにします。 (スコア:3, 興味深い)
それは翻訳の手抜きが理由ではないとすでに確かめられている。
http://www.imou.to/~AoiMoe/column/win/could-not-be.html [www.imou.to]
Re: (スコア:0)
Re: (スコア:0)
「アプリケーションが不正な処理をしました」
は翻訳のミスではないと思うけど、MSの文章が変なのはいつものことだ。
Re:16 文字までの長さにします。 (スコア:1)
それが浸透しすぎて最早違和感ない表現に聞こえるという。
Re:16 文字までの長さにします。 (スコア:1)
以前、Windowsであるイベントログが英語で出力されていたのでその意味を調べていた時、
英語圏のとあるサイトに行き着きました。
いろいろなイベントログを集め、整理しているMS製ではない(たぶん有志の)サイトだったのですが、
それぞれのイベントログに「英語で言うと……」という欄がありました。もちろん元のイベントログも
英語なのですが、それでも「分かんねーから英語で頼む」ということらしいです。
そりゃ日本語にしたら余計分からんわ。
Re: (スコア:0)
コンピュータを使える程度に教育を受けていてreadという単語の意味がわからない人ってどれくらいいるんでしょう?
Re:16 文字までの長さにします。 (スコア:1)
それが“リード”ではなく”レッド”だということが分かってる人は少ないのでは
Re: (スコア:0)
readの部分さえ和訳すれば、完璧な和訳になるとでも?
Re: (スコア:0)
おれは小学生のころ、8ビットパソコンを使ってBASICでプログラムを組んだりしてたけど、アルファベットの小文字が読めなかった。
READ文はとうぜん知ってたけど、readが当時読めたかどうかは分からない。
(当時、READの対義語というかペアになる言葉はDATAだと思ってた)。
というかそもそも、
> コンピュータを使える程度に教育を受けていて
プログラミングが必須だった昔やCUIしかなかった昔ならともかく、使いやすいGUIを追求している現代に、
コンピュータを使うのにそんなあらたまった教育が必要?
Re: (スコア:0)
このメッセージは現代のものではなくてWindows NTに含まれていたものだよ。
Re:16 文字までの長さにします。 (スコア:2)
見るとうんざりするメッセージの一つですが、XPが『現代のもの』かどうかの判断は各位にお任せします。
※7では今のところまだ見ていません。
+深夜残業プラス1+
Re: (スコア:0)
で、コンピュータが使える程度の教育ってどんなものを想定してましたか?
Re: (スコア:0)
ぶっちゃけ、日本が金持ちだったときには日本専用がたくさんあったじゃないですか。
日本専用仕様のCPUからOSまで・・・
パスワードの保存方法 (スコア:0)
既存アカウントに適用できるってことは、パスワードを平文に戻せる状態で保存していたってことでしょうか?
Re:パスワードの保存方法 (スコア:1)
もともと16文字分だけしかハッシュ化してなかったってことでしょ。
そうじゃないと
こんな芸当できない。
Re: (スコア:0)
単に16文字目以降を切り捨てて無視していたのをエラーにするようにしただけでしょ。
ハッシュ化よりはるか以前の入力チェックとかの段階で。
Re:パスワードの保存方法 (スコア:3, すばらしい洞察)
Windows8では、Microsoft Accountがそのままアカウント/パスワードになりますし、パスワード長の拡張をする気なのかもしれませんね。
で、X-day以降にパスワードを設定した場合はn文字までのパスワードが可能にと。
たしか amazon も (スコア:0)
先頭8文字だけが使われてたけど修正されたよね。
Re:たしか amazon も (スコア:2)
昔のMac OS Xもそのような仕様でした。
Re:たしか amazon も (スコア:1)
8文字より後を無視するのは古い crypt(3) の仕様だからね。
Re: (スコア:0)
たしかSkypeだったと思うけど、16文字くらいしか認識してないのに、
新規ユーザー登録でのパスワードがそれ以上でも登録できてたはず。
あれには参った。
Re: (スコア:0)
Buffaloの有線LANルーター(BBR-4MG)でも8文字しか使用されないけどもっと長いものを指定できましたね
16文字取り出すとか (スコア:0)
結構(というほどでもないが)面倒なことしてるよね。
そのまま全部受け入れた方が楽な気がするけど。
ゲイツの名言 (スコア:0)
「16bytesで十分だ」だっけ?
パスワード or パスフレーズ? (スコア:0)
大文字小文字数字記号と使えるパスワードならちゃんと作れば16文字でも大丈夫かな。
でもパスフレーズとして使うと8~10wordぐらい欲しいから60~100文字ぐらいは必要?
どっちにせよ
・機密情報を書いたりしない
・週1~月1程度で変更
ってのは大前提になるけど(´・ω・`)
Re:パスワード or パスフレーズ? (スコア:2)
ってのは何を警戒しての措置なんですか?
何の機密も書いてない所のパスワードをそんなに。
Re: (スコア:0)
パスワードといってもふつうの人は辞書に載ってないランダムなパスワードを考えるのは難しいから、
むしろパスフレーズのほうが一般人向けかもしれないと思います。
そうすると、文字数の上限は255文字とかかな。
そろそろ日本語を (スコア:0)
英語には大文字小文字、数字、記号などあわせても100程度だ。
我が国には、何千という文字が存在する。この際、日本語(マルチバイト言語)をパスワードに使えるようにすればよい。
どうせハッシュ化するんだし。文字コードはしっかり確認しよう。
Re:そろそろ日本語を (スコア:2, すばらしい洞察)
適当にやるとIMEがパスワードを学習してしまう訳で。
きっちり規格化して紳士協定を守って貰わないと大変危険な事になりますね。
Re: (スコア:0)
自動的に補完してくれたほうがキーロガーに盗まれる余地が少ないし、いつも補完されるはずのものが補完されなかったことによって「ドメインが違う」と気付く余地も生まれる。
Re: (スコア:0)
途中に変換を挟んだら、
*********
で、隠せないじゃないですか。