it-swarm.com.de

Warum würden Sie Q oder Z in Passwörtern nicht zulassen?

Jetblues Passwortanforderungen Geben Sie unter anderem an, dass:

Kann kein Q oder Z enthalten

Ich kann mir keinen logischen Grund dafür vorstellen, es sei denn, es wurde gesagt, dass die linke Seite der Tastatur sehr häufig kaputt geht, aber dann würden Sie auch 'A' nicht zulassen :)

Was wäre der Grund für diese Sicherheitsanforderung?

230
Mark Mayo

Es ist ein Überbleibsel aus der Zeit als die Tastaturen nicht die Buchstaben Q und Z hatten . In Bezug auf die Sicherheit gibt es keinen Grund. Es liegt nur an alten Systemen.

Zu klären:

Früher konnten Sie Ihr Passwort über das Telefon eingeben. Einige Telefone hatten nicht die Buchstaben Q oder Z, wie auf dem Bild unten.

enter image description here
Bildhöflichkeit: Bill Bradford auf flickr.com

Aus diesem Grund wurden Passwörter mit diesen Zeichen nicht zugelassen. Sie haben diese Anforderung aus irgendeinem Grund nicht geändert: Legacy-Systeme, schlechte Dokumentation oder es ist ihnen einfach egal.

271
Eric Lagergren

Auf alten Telefonen gab es keine Buchstaben "Q" oder "Z": 7 ist "PRS" und 9 ist "WXY". Wenn Sie Benutzern die Eingabe des Kennworts über die Taste am Telefon ermöglichen möchten, stellten "Q" und "Z" ein Problem dar. Sie nicht zuzulassen ist eine einfache - wenn auch etwas grobe - Lösung.

20
mishadynin

Es gibt jetzt eine direkte Bestätigung von Jetblue via CNN.

American Airlines und IBM haben SABRE entwickelt, um in den späten 1960er Jahren telefonische Reisereservierungen in Echtzeit in Echtzeit zu ermöglichen. Rotary- und Touch-Tone-Telefone hatten damals jedoch kein Q oder Z.

Die Nummer 1 gehörte zu Ferngesprächen und 0 für den Betreiber. Damit blieben acht Zahlen übrig, die das gesamte Alphabet abdeckten. Die Bell Telephone Company hat jeder Nummer drei Buchstaben zugewiesen und die beiden Buchstaben, die wir am wenigsten verwenden, weggelassen: "Q" und "Z". Auf diese Weise wurden Fluggesellschaften von einem telefonischen Reservierungssystem mit einem begrenzten Alphabet abhängig.

Sabre existiert immer noch und arbeitet mit den meisten Fluggesellschaften zusammen, einschließlich JetBlue. JetBlue teilte CNN mit, dass die Regel "kein Q oder Z" weiterhin für JetBlue-Mitarbeiter gilt, die auf Sabre zugreifen. JetBlue gab die Einschränkung für ihre Passwörter an TrueBlue-Mitglieder weiter, wie in den häufig gestellten Fragen zu Firmenkennwörtern beschrieben.

Die Regel wurde stillschweigend fallen gelassen und ist nicht mehr aktiv. Sie können derzeit fast jedes gewünschte Passwort erstellen, sofern es zwischen acht und 20 Zeichen lang ist. JetBlue teilte CNN mit, dass es jetzt seine Seite FAQ) aktualisiert, aber das Unternehmen würde keine Kommentare abgeben, wenn die Regel geändert wird.

Qs und Zs sind jetzt erlaubt. Es ist kein Legacy-System-Holdover für Sabre, sondern für Einzelhandelskunden.

14
Ellie Kesselman

Wie andere Leute kommentiert haben, ist es ein Überbleibsel von Telefonwählscheiben und TouchTone (tm) -Pads, die anfangs kein Q oder Z hatten und keine konsistenten Positionen hatten, als sie von verschiedenen Herstellern in verschiedenen Ländern hinzugefügt wurden, und einige Systeme, die die Option benötigten um Ihr Passwort auf einer Computertastatur festzulegen, sich aber später auch über eine Telefontastatur anzumelden.

Bei einer Konferenz zum Design von Benutzeroberflächen bei Bell Labs, zu der ich um 1990 zurückgekehrt bin, wurde eine Sitzung zum Thema "Wo Q und Z auf einem TouchTone (tm) -Pad platziert werden" abgehalten. Der Sprecher bezeichnete es als "Das Problem, das einfach nicht sterben wird. "

Es war ziemlich gut besucht, weil es zu einem günstigen Zeitpunkt war und ein Thema, das jeder intuitiv verstehen und schätzen konnte. Das Problem und die Lösungen sind einfach und willkürlich und jeder, den Sie auswählen, hat Probleme damit oder manchmal mehr Probleme.

8
user46642

Reine Spekulation, aber Q und Z sind die am seltensten vorkommenden Buchstaben in Englisch . Für einen Angreifer, der einen Strom von Eingabezeichen beobachtet, möglicherweise von einem Telefon auf einem Tisch in der Nähe , könnten Q und Z ein zufällig generiertes Passwort signalisieren.

5
hurrymaplelad

Grundsätzlich gibt es keinen direkten technologischen Grund, diese beiden Zeichen aus Passwörtern zu verbannen.

Davon abgesehen kann JetBlue (und es ist uns unmöglich, dies ohne Bestätigung von JetBlue sicher zu wissen) Folgendes haben:

  1. Geschäftslogik, die ein solches Verbot diktiert (obwohl ich, wie Sie, keinen Grund ergründen kann)
  2. Legacy-Code in ihren Systemen, der die Verwendung dieser Zeichen oder ihrer Web-App verhindert, kann Benutzerkonten in andere Legacy-Systeme importieren, für die ein solches Verbot gilt, sodass sie diese Anforderung an die Web-App "sprudeln". Dies ist in Web-Apps, die mit älteren AS/400 IBM iSeries) oder Mainframe-Systemen kompatibel sind, nicht ungewöhnlich.

Angesichts der Tatsache, dass die meisten modernen Webplattformen es ermöglichen, so gut wie jedes Zeichen im Set ASCII) zu maskieren, ist das Sperren von Zeichen aus Kennwörtern normalerweise nur darauf zurückzuführen, dass Unternehmen ihren Code nicht aktualisieren möchten, um ordnungsgemäß zu maskieren die Eingabe Benutzer geben. YMMV

Laut dem Wikipedia-Artikel zur Passwortstärke (--- (http://en.wikipedia.org/wiki/Password_strength ) dient das Verbot von Zeichen nur WIRKLICH dazu, die gewünschte Entropie eines bestimmten Passworts zu reduzieren und das Brute zu vereinfachen -Kraftriss. Aus technischer Sicht scheint es daher, dass die Kennwortrichtlinie von JetBlue tatsächlich zu einem System mit leichter zu hackenden Kennwörtern führt.

Leider denke ich, dass dies alles nur Spekulation ist, es sei denn, es gibt einen JetBlue-Vertreter auf der Website, der bereit ist, eine offizielle Erklärung der Richtlinie abzugeben ...

Der Grund wäre, dass der Administrator in einer Umgebung mit mehreren Tastaturlayouts weniger Arbeit hat.

In Anbetracht von AZERTY und QWERTY Tastaturlayouts) sind alle Tasten bis auf Q - A, W - Z Und ; - M Gleich.

Daher kann es nützlich sein, QWAZM in Kennwörtern zu vermeiden, da sie dadurch einfacher in verschiedene Tastaturlayouts eingegeben werden können.

Da Sie auch Ziffern und Sonderzeichen eingeben müssten und diese sich alle an verschiedenen Stellen in den einzelnen Layouts befinden, ist es möglicherweise nicht allzu nützlich, diese Buchstaben herauszufiltern.

3
informatimago