Scribble at 2023-03-03 12:30:47 Last modified: 2023-03-03 14:28:19

添付画像

A compilation of 285 sites with dumb password rules.

Dumb Password Rules

これはシュナイアーがブログで紹介していたサイトだ。アホみたいなパスワードの生成・登録ルールをユーザに求めている、まさに "dumb"(あほんだら)サイトの一覧だ。

で、こういう愚かなルールを維持してる理由の多くは、その会社に在籍してるプログラマが20年くらい前のコンピュータのスペックしか覚えていないジジイだったり、あるいは8ビット時代のコンピュータの知識しかなくて地方自治体の出入り業者として「ITコンサル」を名乗ってるクズみたいなジジイだったり、あるいは漫画とかでコンピュータを知ったガキだとか、専門学校とかでオペレータ的な操作手順しか学ばなかったガキだったりするわけだけど、結局は学歴とか年齢とかが致命的なのではなく、コンピュータとかネットワークとかサービス開発に興味ないやつらがネットや IT の商売をしてるってことが問題だと思うんだよね。ほんとに、どこのネット企業やウェブ制作会社を見ていても感じるけど、コンピュータとかスマートフォンとかウェブとか通信とかコミュニケーションとかに興味ないやつが仕事してるんだよ。そら、無知の自覚もなければ興味もないんだから、勉強なんてしないわな。

ということなので、馬鹿がアプリケーションの仕様策定に関わってたら、あたりまえだがウンコみたいなものしか出てこない。たとえば、いまどきパスワードの桁数を増やすと暗号化の処理でサーバが落ちるなんて、いったいどんだけ安物のインスタンスを建ててるんだよって思うね。

もちろん一定の負荷があるのは事実なのだから、そこをちゃんと一定の時間や計算コストでレスポンスしたいというなら、専用のウェブ・サービスを組んで処理を任せたらいい。でも、パスワードなんて登録者の全員が32桁や64桁に設定しても、最近のスペックのコンピュータであれば大した負荷の違いなんてないと思うがね。そんなことを心配していいのは Facebook や Google Chat のソフトウェア・アーキテクトだけだと思う。そして、実際にこういうサービスのエンジニアであれば identity (authentication) provider として満足なパフォーマンスの仕組みを必要な資源で組み込む素養とか実績を積み上げている。いつまでも「サーバの負荷がー」と言って、パスワードの桁数を8桁に制限すれば助かるなんていうブードゥー教を口走っててもロクなことはない。

それから、これは僕がヘテムルのようなレンタル・サーバを使っていて困惑させられるわけだけど、英文字で小文字しか使えないっていうルールのサービスがあるんだよね。あれは何なんだろう。

ともかく、他にもリストを見ていただくと大企業のサイトも多く紹介されている。特に金融系のサイトで8桁しかパスワードを設定できないとか言われると、さてさて出入り業者は DOS しか知らない爺さんなのかなとか思ってしまう。実は僕もそうなのだが、8の倍数で物事の数を決めたり設定したり揃えてしまうようなところがある。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Twitter Facebook