三菱東京UFJに口座持ってるコトもありMUFGカードも持ってるんですけど、そのMUFGカードからなんか変なメールが来てました。
平成24年11月19日(月)にMUFGカードWEBサービスへのログイン方法を変更いたしました。
従来、MUFGカードWEBサービスでは、お客様がパスワード登録に際して9桁以上の文字をご入力された場合、お客様のご入力された文字数にかかわらず、頭8桁をパスワードとして登録し、その後のご利用時に照合させていただいておりました。
このたび、MUFGカードWEBサービスのログイン方法変更に伴い、同サービスのパスワードの文字数を6~8桁に限定し、ご利用時にはそのすべてを照合させていただくことにいたしました。
パスワードご登録時に9桁以上ご入力されたお客様におかれましては、前述のとおり、頭8桁をパスワードとして登録させていただいておりますので、ご利用時にはこれをご入力くださいますようお願い申しあげます。(9桁以上入力された場合はエラーとなり、ログインできませんので、ご注意ください。)
えーと、つまり今までMUFGカードのWEBサービスでは9ケタ以上のパスワードが登録可能だったけど、実は頭8ケタだけがパスワードとして登録されており、ログイン画面で9ケタ以上のパスワードを入力された場合でも、頭8ケタが合っていればログインできていたと。つまり前方一致していればOKだったと。
でもこれからは完全一致で見るようにするから、9ケタ以上のパスワードを設定していた人はそのまま入力すると不一致と見なされエラーになっちゃうんでヨロシクと。
……え?
今まで9ケタ以上のパスワードは前方一致で照合していたというのは結構衝撃的なんですけど、そもそもなんでそんな仕様になっていたの??最大8ケタでしか照合しないなら、8ケタまでのパスワードしか設定時に入力できないようにするべきなんじゃないの??ていうか8ケタまででしか照合しない(できない?)理由はなんなの??このブログで使ってるgooでも32ケタまでパスワード設定できるよ??
その辺の疑問に関する答えはメールには書かれておらず。
ただ、パスワード長に関する話題をググってみたら、2008年に書かれたAppleのサポートページがヒットして。
Mac OS X と Mac OS X Server に有効なパスワードの長さは 8 文字です。これより多い文字数を入力できますが、超えた分は無視されます。
現象
「システム環境設定」と「Server Admin」アプリケーションでは、8 文字を超えるパスワードを作成することができます。パスワードを使用する際に 8 文字を超えて入力することができますが、9 文字以降は無視されます。
Mac OSもそんなんだったんか!今のMac OSではこんな仕様無いはず(むしろヘルプ見ると8文字「以上」のパスワードを推奨してる)なんですが、以前は違ったんですかね。「8文字超えて入力できるけど、超えた分は無視」というところまでMUFGのそれとおんなじ。なんなの、一昔前だとこの仕様が当たり前だったの??
ちなみにIPA(情報処理推進機構)の過去記事によると、英字と数字をランダムに組み合わせて8文字のパスワードを作成した場合、解読に最大約50年かかるとされており、十分な強度であるとされています。
情報処理推進機構:情報セキュリティ:ウイルス・不正アクセス届出状況について(2008年9月分および第3四半期)
ただ、これが英字のみだと8ケタでも最大約17日で解読可能となっており、途端に心許なくなってきます。でもねー、実際英字のみのパスワードにしている人結構多いんじゃないかな。これが10ケタになると、英字のみでも解読に最大約32年かかるという結果に。
このデータを見ると、せめて10ケタくらいは設定できるようにしといて欲しい気がします。ましてや、クレジットカードのWEBサービスですぜ、コレ。
以前、Amazonでも自分の設定したパスワードの後方に任意の文字列を追加してもログインできてしまうという話が出ていましたけど、あれはまだ自分の設定したパスワード自体は全部入力する必要がある、って部分でまだマシな感じがします(もちろん問題はありますが)。ちなみにこれはAmazon側で対策済み。
おいAmazonがパスワード前方一致でログインできるぞ - デスクトップ2ch
MUFGカードのコレは、強固なパスワードを設定していたつもりが実は裏でバッサリ省略されてて、ユーザーはなにも知らずにセキュリティの強度が下がっていたでござるという話だからなぁ。
ちなみにMicrosoftのページを見てみると、
Windows のパスワードは最長 127 文字です。ただし、Windows 95 または Windows 98 を実行しているコンピュータが接続されているネットワークでは、14 文字以内のパスワードを使用した方がよい場合があります。Windows 95 と Windows 98 で使用できるパスワードは最長 14 文字です。
via: 強力なパスワード
……ちょっとWindowsのこと見直した。