Scribble at 2026-04-13 08:10:10 Last modified: 2026-04-13 09:02:49

こういう小手先だけの「セキュリティ対策」というのは、実務家でありプロのエンジニアという立場から見れば本当に困るんだよね。単に煩わしさだけをユーザに印象づけてしまい、マネジメントとしては逆効果だ。

これは「承認Time」という決裁系のオンライン・サービスなのだが、あいかわらず「定期的なパスワード変更」というクルクル・パーのポリシーを押し付けてくるため、仕方なく変更しているところだ。そして、パスワードの設定条件としては「英大文字、英小文字、数字、記号をすべて含む必要があります。」とあるため、ルールに違反する文字列をパスワードとして設定しようとすると、画面のようなエラーを出すようになっているらしい。しかし、僕が設定しようとしている文字列は KeePass で生成した「TW5%W(.}Vr|A78kY~KDsm5?n」という、どう考えても妥当な文字列である。もちろん、この欠陥システムが要求するルールも満たしているのは明白だ（なんで重要な文字列を公表するかというと、当たり前だが実際にはパスワードとして登録できなかった文字列だからだ）。

結局、どんなパスワードなら通るのかというと、少なくとも桁数を12桁まで減らして、記号を一つしか使わない文字列にすると設定できたので、実際には桁数の制限があるのだろう。いまどき24桁の文字列すら使えないとは恐れ入る。24桁と12桁とで、ハッシュ化にかかるパフォーマンスの違いなんて、いまサーバに使われているていどのスペックがあるマシンなら誤差の範囲ではないかと思うが、いまだに学部卒ていどの「計算量」の知識だけで些末な計算上の違いを理由に桁数を減らすことが「貢献」なり「効率化」だと勘違いしている馬鹿がいるのだろう。