家のプロバイダが皆大好きOCNなんですが、そのメアドのパスワードが漏れてたそうで。
http://japan.internet.com/webtech/20130725/2.html
そもそもそのアドレスは楽天で買い物のときにしか使ってないアドレスで、
それなのにロト6が100%当たるシステムとか、8割回収できる馬券の買い方とか、
亡くなったご夫人の遺産受け取り連絡とか、めっちゃ可愛い子からのエロい誘いとかの
メールで溢れかえってる、言ってしまえば使ってないアドレスなので、
実害なんでそもそもないんですけど、何となく嫌なので変えたのです。
んで気になったのが、変更時に提示されたパスワードのルール。
とりあえず、原文そのまま貼りますね。
<パスワードのルール>
1. パスワードは6文字以上8文字以下の文字列にして下さい。
2. パスワードに使用可能な文字は以下の通りです。
・アルファベット("A"から"Z"までの英大文字、"a"から"z"までの英小文字)
・数字("0"から"9"まで)
・記号の一部( ! $ % & ' ( ) * + , - / ; < = > ? [ ] ^ { } ~ )
3. 新パスワードは、2文字以上のアルファベットと1文字以上の数字、又は記号を用いて作成して下さい。
6文字以上にするのは理解できますが、何故8文字以下じゃないと駄目なんだろう。
って思ったら、多分技術的な制約なんだろうなーと思っちゃいました。身に覚えがありますからw
つか、セキュリティに明るくない私の私見ですが、そもそもパスワードを認証させる時、サーバ上に置いてある情報に可逆性を持たせてるのが問題じゃないのかと思うのです。別にサーバに実際の生文字列を持たなくてもいいじゃんねー。
パスワードの再送をさせたいなら、パスワードの再設定をしてもらえば良いだけだと思うし。
でもちょっと前だと平文保存は普通だったですよね。
色々思い出せば、こういう仕組みを作る度、知らない人のパスワード(と思われる文字列)はできれば見たくないなーって日頃から思ってたものです。悪気もないのに、変な嫌悪感を抱くというか。
なので開発やメンテナンスしてる人間にもパッと見でわからないような文字列を扱えば良いなと思って、一時期から暗号化して保存するようにしてました。よかった、やっといて。