2007/10/29(月) [n年前の日記]
#4 [web] パスワードに文字数制限があるときはチェックしてから受け付ける仕様にしておかないといかんのだろうな
イーバンクのパスワードを変更したら、ログインできなくなってしまっていたわけで。>自分。後になってから気づいたのだけど、イーバンクのパスワードには、8〜12文字という文字数制限があったのですな。自分、おそらく、13文字ほど打ち込んでましたがな…。
本来、パスワードの文字数に制限があるなら、cgi側で入力時に文字数をチェックして、そのまま変更を受け付けたりせずに、「文字数をオーバーしています」等の表示がほしいところだよなと。特に、金銭を扱うサイト・サービスで、うっかり文字数オーバーした状態で受け付けてしまうと、ユーザーにとってはかなり致命的な状態になるわけで。
もっとも、自分の使ってる各種cgiも、そのあたりのチェックをしてるかどうかは怪しいわけで。手を抜いてしまいがち・見落としてしまいがちなところ、なのかもしれず。特にこれといった文字数制限がない場合でも、たとえば256文字とか65536文字とか入力されたら、cgiの動作はどうなっちゃうんだろう…。
本来、パスワードの文字数に制限があるなら、cgi側で入力時に文字数をチェックして、そのまま変更を受け付けたりせずに、「文字数をオーバーしています」等の表示がほしいところだよなと。特に、金銭を扱うサイト・サービスで、うっかり文字数オーバーした状態で受け付けてしまうと、ユーザーにとってはかなり致命的な状態になるわけで。
もっとも、自分の使ってる各種cgiも、そのあたりのチェックをしてるかどうかは怪しいわけで。手を抜いてしまいがち・見落としてしまいがちなところ、なのかもしれず。特にこれといった文字数制限がない場合でも、たとえば256文字とか65536文字とか入力されたら、cgiの動作はどうなっちゃうんだろう…。
◎ ブラウザ側の仕様に問題があるような気もする。 :
form自体に、文字数制限ができる仕様があったことを思い出した。
_HTMLタグ/フォームタグ/パスワード形式の入力欄を作る - TAG index
inputタグに、maxlength を指定して、文字数制限ができるらしい。…これって、マズイよな。type="password" を指定した場合、打ちこんだ文字が「*」で表示されてしまうから、パッと見で何文字あるのか判らない。「************」と「*************」の違いを、ユーザは即座に判別できるのか? という問題が。
1文字ずつ打ち込んでる場合は、指定文字数以上になれば、入力しても「*」が増えないので、文字数制限があることに気づく場合があるのかもしれんけど。自分の場合、タイプミスが怖くて、その手の入力欄にコピー&ペーストで貼り付けることが多いわけで。一気に貼り付けをしていると、これは気付かんわ…。
_HTMLタグ/フォームタグ/パスワード形式の入力欄を作る - TAG index
inputタグに、maxlength を指定して、文字数制限ができるらしい。…これって、マズイよな。type="password" を指定した場合、打ちこんだ文字が「*」で表示されてしまうから、パッと見で何文字あるのか判らない。「************」と「*************」の違いを、ユーザは即座に判別できるのか? という問題が。
1文字ずつ打ち込んでる場合は、指定文字数以上になれば、入力しても「*」が増えないので、文字数制限があることに気づく場合があるのかもしれんけど。自分の場合、タイプミスが怖くて、その手の入力欄にコピー&ペーストで貼り付けることが多いわけで。一気に貼り付けをしていると、これは気付かんわ…。
◎ そもそもパスワード入力欄を「*」にする仕様ってどれだけ効果があるんだろう。 :
PC初心者の方から相談を受けた際、えてしてパスワードの入力ミスだったりすることが結構あるんだけど。
*1
入力した文字を「*」で表示してることで、余計なトラブルを多々招いてる、そんな印象もあるのですが。
認証時は「*」でもいいんだけど、せめてパスワード設定時だけは、パスワードの文字列が見えるようにする、てなわけにはいかんのかしら。
認証時は「*」でもいいんだけど、せめてパスワード設定時だけは、パスワードの文字列が見えるようにする、てなわけにはいかんのかしら。
*1: 半角で打ち込むところを全角で打ち込んでたりとか、キーボードに慣れてないから別の文字を打ってしまったとか。
この記事へのツッコミ
[ ツッコミを読む(2) | ツッコむ ]
以上です。
私もやった事あります(;´Д`)
しかも、私が使ってたサイトでは
はみ出した余分な文字はまったく評価してないようで、
パスワードを変更したときに最後の文字1文字だけ変えたら
「同じパスワードは使えません」っていわれてはじめて気がつきました。
> 打ちこんだ文字が「*」で表示されてしまうから、パッと見で何文字あるのか判らない。
気の効いた?サイトでは、ショルダーハックされにくいように、
*の数とパスワード文字数が一致しないように作られているところもありますね。
> パスワードの文字列が見えるようにする
携帯サイトなんかだと見えるところがありますね。
というかどうしようもないところなんでしょうけど。
> 半角で打ち込むところを全角で打ち込んでたりとか、キーボードに慣れてないから別の文字を打ってしまったとか。
むしろこれの方が多い印象が…
日本語環境だと、全角半角、英数カタカナひらがなと
組み合わせがたくさんあるのと、
ご丁寧にテキストボックスにカーソルを合わせると
強制的に半角英数モードになるように作りこんでるのに
PCの方が調子悪くてIMEの切り替えがうまく行ってなかったり、
あとはキーボードの設定が109/106から101になってたり…
うわ。そんな事例もあるのですか。
それではますます文字数を間違えて打ち込んでしまうことがありそうですな。
このへん何か解決策はないものかなぁ…。
打ち込んでる人にしか文字が見えなくなる技術…
なんてのはハードウェアが必要になるだろうし。難しそうだなぁ…。