Pourquoi n'autoriseriez-vous pas Q ou Z dans les mots de passe?

Eric Lagergren

2014-05-14 06:14:18 UTC

view on stackexchange narkive permalink

C'est un vestige de l'époque où les claviers n'avaient pas les lettres Q et Z. Sur le plan de la sécurité, il n'y a aucune raison. C'est juste à cause des anciens systèmes.

Pour clarifier:

Avant, vous pouviez entrer votre mot de passe par téléphone. Certains téléphones n'avaient pas les lettres Q ou Z, comme celle sur l'image ci-dessous.

_{Image courtoisie: Bill Bradford sur flickr .com}

Pour cette raison, les mots de passe contenant ces caractères n'étaient pas autorisés. Ils n'ont pas changé cette exigence pour une raison quelconque: systèmes hérités, documentation médiocre, ou ils s'en moquent.

J'ai trouvé une image pour [Proof] (http://farm1.static.flickr.com/45/148973327_325aa5357d_m.jpg)

Je me demande simplement: _Pourquoi_ certains téléphones n'avaient-ils pas Q? (Z est évident - car il ne rentrerait plus.)

The Straight Dope a une réponse pour expliquer pourquoi Q a été omis ... http: //www.straightdope.com/columns/read/351/why-is-there-no-q-on-the-telephone-dial

De plus, il semble que lorsque le besoin se fait sentir (dans les années 40 et 50), Q ou Z fait une apparition dans le bouton pour 0

Aussi raison possible pour laquelle il n'a pas été changé

Euh ... mais ils (JetBlue) disent aussi que les mots de passe sont sensibles à la casse. L'explication du clavier du téléphone ne semble pas correspondre à cela.

@visakh - Parfois, ils sont tous les deux sur «0». Parfois «1». Le plus souvent, j'ai vu «Q» poussé sur 7 et «Z» sur «9».

@Bobson my ont frappé sur une raison plus importante: si la clé qui porte le Q ou le Z n'est pas définitive, alors il est plus difficile de fournir une interface téléphonique sécurisée ... puisque vous devez autoriser 2 chaînes numériques différentes pour être considéré comme valide pour un seul mot de passe

@Dancrumb qui semble en fait une réponse raisonnable - ne pourrait-il pas être les deux?

Alors, quelle était la raison pour laquelle aucun des chiffres n'avait 4 lettres?

CNN a publié un [article] (http://money.cnn.com/2014/05/14/technology/security/jetblue-password/index.html) à ce sujet aujourd'hui.

@Daniel: En plus d'un hachage du mot de passe avec une casse préservée, ils peuvent également stocker un hachage insensible à la casse (par exemple du mot de passe converti en majuscules) pour l'authentification via les claviers téléphoniques et les numéroteurs rotatifs. --- Bien sûr, cela rend le système d'authentification beaucoup plus vulnérable.

@FeralOink pardon? Votre réponse à cette question est presque la même que la mienne, mais vous prétendez que la mienne est incorrecte? "Cependant, les téléphones à cadran et à clavier n'avaient pas de Q ou Z à l'époque."

@FeralOink Qu'est-ce qui n'est pas précis? Je ne comprends pas. Ma réponse, y compris les modifications, dit que la raison pour laquelle il y avait une règle excluant les lettres Q et Z des mots de passe était parce que les anciens téléphones n'avaient pas ces lettres.Les téléphones sont la raison principale, pas SABRE. SABRE n'a pas utilisé ces lettres simplement parce qu'elles n'existaient pas sur les téléphones. Pédantisme...

mishadynin

2014-05-14 06:40:46 UTC

view on stackexchange narkive permalink

Sur les anciens téléphones, il n'y avait pas de lettres «Q» ou «Z»: 7 signifie «PRS» et 9 est «WXY». Donc, si vous vouliez autoriser les utilisateurs à entrer le mot de passe à l'aide du bouton du téléphone, «Q» et «Z» présentaient un problème. Les refuser est une solution simple, quoique quelque peu grossière.

Le vrai problème est que parfois 7 était "PQRS" et 9 était "WXYZ", et parfois ils étaient "PRS" et "WXY" tandis que 1 était "QZ".

Ellie Kesselman

2014-05-20 01:16:46 UTC

view on stackexchange narkive permalink

Il y a maintenant une confirmation directe de Jetblue via CNN .

American Airlines et IBM ont développé SABRE pour faciliter les réservations de voyage par téléphone à grande échelle, en temps réel, à la fin des années 60. Cependant, les téléphones à cadran et à clavier n'avaient pas alors de Q ou de Z.

Le numéro 1 appartenait aux appels longue distance, et 0 pour l'opérateur. Cela laissait huit chiffres pour couvrir tout l'alphabet. La compagnie de téléphone Bell a attribué trois lettres à chaque numéro et a omis les deux lettres que nous utilisons le moins: «Q» et «Z». C'est ainsi que les compagnies aériennes sont devenues dépendantes d'un système de réservation par téléphone avec un alphabet limité.

Sabre existe toujours et s'associe à la plupart des compagnies aériennes, y compris JetBlue. JetBlue a déclaré à CNN que la règle «pas de Q ou Z» s'applique toujours aux employés de JetBlue qui accèdent à Sabre. JetBlue a transmis la restriction aux membres TrueBlue pour leurs mots de passe, comme décrit dans la FAQ sur les mots de passe de l'entreprise.

La règle a été abandonnée discrètement et n'est plus active. Vous pouvez actuellement créer presque tous les mots de passe de votre choix, du moment qu'il comporte entre huit et 20 caractères. JetBlue a déclaré à CNN qu'elle mettait à jour sa page FAQ, mais la société ne ferait aucun commentaire sur la modification de la règle.

Les questions et les z sont désormais autorisés. Ce n'est pas un héritage du système hérité pour Sabre, mais c'était pour les clients de détail.

user46642

2014-05-15 11:05:41 UTC

view on stackexchange narkive permalink

Comme d'autres personnes l'ont commenté, il s'agit d'un résidu de numéros de téléphone et de touches TouchTone (tm) n'ayant initialement pas de Q ou Z sur eux, et n'ayant pas d'emplacement cohérent lorsqu'ils ont été ajoutés par divers fabricants dans divers pays, et certains systèmes qui J'avais besoin de l'option pour définir votre mot de passe sur le clavier d'un ordinateur, mais plus tard, connectez-vous également à partir du clavier d'un téléphone.

Une conférence sur la conception d'interface utilisateur aux Bell Labs à laquelle je suis retourné vers 1990 a eu une session sur le thème "Où aller mettez Q et Z sur un problème de pavé TouchTone (tm). L'orateur l'a appelé " Le problème qui ne mourra pas ".

Il a attiré beaucoup de monde, car c'était à un moment opportun et un problème que tout le monde pouvait comprendre et apprécier intuitivement. Le problème et les solutions sont simples et arbitraires et celui que vous choisissez a des problèmes, ou parfois plus de problèmes.

hurrymaplelad

2014-05-14 06:31:53 UTC

view on stackexchange narkive permalink

Pure spéculation, mais Q et Z sont les lettres les moins fréquentes en anglais. Pour un attaquant regardant un flux de caractères d'entrée, peut-être depuis un téléphone sur une table voisine, Q et Z pourraient signaler un mot de passe généré aléatoirement.

Contrairement à, disons, «JHKNBTRW»?

@MichaelKjörling Votre exemple nécessite déjà de regarder le contexte. Attraper votre exemple est certainement plus difficile que de simplement rechercher des questions et des réponses (et nécessite moins de ressources).

Bryan 'BJ' Hoffpauir Jr.

2014-05-14 06:23:13 UTC

view on stackexchange narkive permalink

Fondamentalement, il n'y a aucune raison technologique pure et simple d'interdire ces deux caractères des mots de passe.

Cela étant dit, JetBlue peut (et il est impossible pour nous de le savoir avec certitude sans confirmation de JetBlue) d'avoir soit :

Logique métier qui dicte une telle interdiction (même si, comme vous, je ne peux pas comprendre de raison)
Code hérité de leurs systèmes qui empêche l'utilisation de ces caractères ou leur application Web peut importer des comptes d'utilisateurs dans d'autres systèmes hérités qui ont une telle interdiction en place, de sorte qu'ils "remontent" cette exigence dans l'application Web. Ce n'est pas rare dans les applications Web qui s'interfacent avec des systèmes AS / 400 (IBM iSeries) ou mainframe plus anciens.

Étant donné que la plupart des plates-formes Web modernes permettent d'échapper à pratiquement n'importe quel caractère de l'ensemble ASCII , Je trouve personnellement que l'interdiction des caractères des mots de passe est normalement due au fait que les entreprises ne veulent pas mettre à jour leur code pour échapper correctement aux entrées des utilisateurs. YMMV

Selon l'article de wikipedia sur la force du mot de passe ( http://en.wikipedia.org/wiki/Password_strength), interdire les caractères uniquement sert VRAIMENT à RÉDUIRE l'entropie souhaitée de un mot de passe donné, ce qui facilite la fissuration par force brute. Par conséquent, d'un point de vue technique, il semble que la politique de mot de passe de JetBlue aboutisse en fait à un système avec des mots de passe plus faciles à pirater.

Malheureusement, je pense que tout cela n'est que spéculation à moins qu'il n'y ait un représentant JetBlue sur le site qui est prêt à offrir une explication officielle de la politique ...

L'autre réponse prouve qu'il y a une raison possible: la possibilité de la saisir sur un clavier de téléphone à 10 touches.

Les systèmes AS / 400 autorisent en effet tous les espaces de clés, sauf qu'ils ne sont pas sensibles à la casse. (J'en ai un au travail).

En effet, l'une des principales faiblesses des machines allemandes Engima était qu'elles ne coderaient pas une lettre comme elle-même - car cela réduisait l'entropie du message crypté, cela donnait un bon départ aux Polonais / Bletchley Park.

@AndrewMedico, Un système hérité qui s'attendait à gérer un clavier de téléphone sans Q et Z peut avoir été la raison de la restriction dans l'application Web, comme le suggère Bryan. Cependant, comme mentionné dans les commentaires sur la question, la restriction QZ n'était pas appliquée et est maintenant supprimée de la documentation. Peut-être que l'un de leurs développeurs fréquente security.SE? :)

informatimago

2014-05-14 11:09:17 UTC

view on stackexchange narkive permalink

La raison serait d'avoir moins de travail pour l'administrateur dans un environnement avec plusieurs dispositions de clavier.

Compte tenu des dispositions de clavier AZERTY et QWERTY, toutes les touches sont identiques, sauf Q - A , W - Z et ; - M .

Par conséquent, il pourrait être utile d'éviter QWAZM dans les mots de passe, car cela facilite leur saisie sur différentes dispositions de clavier.

Bien sûr, étant donné que vous devrez également entrer des chiffres et des caractères spéciaux, et qu'ils sont tous à des emplacements différents sur chaque mise en page, il ne serait peut-être pas trop utile de filtrer ces lettres, de toute façon.

Je soupçonne que c'est historiquement plus ce que disait la réponse acceptée, mais j'aime beaucoup cette réponse.

Si différentes dispositions de clavier étaient le problème, les mots de passe ne pourraient avoir que des chiffres (et éventuellement les signes de ponctuation de Maj + chiffre). Dvorak et QWERTY ne correspondent que sur les touches numériques et les lettres A et M. AZERTY ne correspondent même pas sur les lettres.

@cHao Les touches numériques de section alphanumérique décalées varient énormément avec la région du clavier. Sur le mien, c'est `!" # ¤% & / () =? `Pour ce qui n'est pas décalé est` 1234567890 + `. Sur un clavier américain, pour commencer, Shift + 4 donne` $ `et les paranthèses sont décalées de un vers la droite position clé.

Une réponse créative, mais je ne suis pas sûr, si c'était le cas, alors plus de lettres devraient être interdites (comme A, W, etc.) parce qu'elles partagent le même problème, n'est-ce pas?

J'évite activement d'utiliser certains caractères de ponctuation dans les mots de passe que je dois taper, car à la fois sur Windows et Ubuntu, mon clavier [passe à l'américain sans raison apparente] (http://askubuntu.com/q/638420/652).