Perché non permetteresti Q o Z nelle password?

È un residuo del tempo quando le tastiere non avevano le lettere Q e Z . Per quanto riguarda la sicurezza, non c'è ragione. È solo a causa dei vecchi sistemi.

Per chiarire:

Prima era possibile inserire la password per telefono. Alcuni telefoni non avevano le lettere Q o Z, come quella nella foto qui sotto.

_{Image courtesy: Bill Bradford on flickr.com}

Per questo motivo, le password che includevano questi caratteri non erano consentite. Non hanno cambiato questo requisito per nessun motivo: sistemi legacy, documentazione scarsa o semplicemente non gli interessa.

Su vecchi telefoni , non c'erano lettere "Q" o "Z": 7 è "PRS" e 9 è "WXY". Pertanto, se si desidera consentire agli utenti di immettere la password utilizzando il pulsante sul telefono, "Q" e "Z" presentano un problema. Disabilitarli è una soluzione facile, anche se piuttosto rozza.

C'è una conferma diretta da Jetblue via CNN ora.

American Airlines e IBM hanno sviluppato SABRE per facilitare le prenotazioni di viaggi telefoniche su scala, in tempo reale, alla fine degli anni '60. Tuttavia, i telefoni rotanti e touch-tone non avevano una Q o una Z allora.

The number 1 belonged to long distance calls, and 0 for the operator. That left eight numbers to cover the entire alphabet. Bell Telephone Company assigned three letters to each number and left out the two letters we use least: 'Q' and 'Z.' That's how airlines became dependent on a phone-based reservation system with a limited alphabet.

Sabre esiste ancora e collabora con la maggior parte delle compagnie aeree, tra cui JetBlue. JetBlue ha dichiarato alla CNN che la regola "no Q o Z" è ancora valida per i dipendenti JetBlue che accedono a Sabre. JetBlue ha passato la restrizione ai membri TrueBlue per le loro password, come descritto nelle Domande frequenti sulla password della società.

The rule was quietly dropped and is no longer active. You can currently create nearly any password you want, as long as it's between eight and 20 characters. JetBlue told CNN it's now updating its FAQ page, but the company wouldn't comment on when they changed the rule.

Qs e Zs sono consentiti ora. Non è un retaggio del sistema legacy per Sabre, ma era per i clienti al dettaglio.

Come altre persone hanno commentato, è un residuo dei quadranti telefonici e i pad TouchTone (tm) inizialmente non hanno Q o Z su di essi, e non hanno posizioni coerenti quando sono stati aggiunti da vari produttori in vari paesi, e alcuni sistemi che era necessaria l'opzione per impostare la password sulla tastiera di un computer, ma in seguito accedere anche da una tastiera del telefono.

Una conferenza sulla progettazione dell'interfaccia utente presso i Bell Labs, che sono andato indietro nel 1990, prevedeva una sessione su "Dove mettere Q e Z su un pad TouchTone (tm)". L'oratore ha definito " il problema che non morirà" . "

Era frequentato molto bene, perché era in un momento conveniente, e un problema che tutti potevano capire e apprezzare intuitivamente. Il problema e le soluzioni sono semplici e arbitrarie e chiunque tu scelga ha problemi con esso, o qualche volta più problemi.

Speculazione pura, ma Q e Z sono le lettere meno frequenti in inglese . Per un utente malintenzionato che osserva un flusso di caratteri di input, forse da un telefono su un tavolo vicino , Q e Z potrebbero segnalare una password generata in modo casuale.

Fondamentalmente, non vi sono motivi tecnologici per bandire questi due caratteri dalle password.

Detto questo, JetBlue potrebbe (ed è impossibile per noi sapere con certezza senza conferma da parte di JetBlue):

1. Business Logic che detta tale divieto (sebbene io, come te, non riesco a capire un motivo)
2. Codice legacy nei loro sistemi che impedisce l'uso di questi personaggi o della loro app web può importare account utente in altri sistemi legacy che hanno un tale divieto, quindi "bolla" quel requisito per l'app web. Questo non è raro nelle app Web che si interfacciano con sistemi AS / 400 (IBM iSeries) o mainframe più vecchi.

Dato che la maggior parte delle piattaforme web moderne consentono di sfuggire praticamente a qualsiasi carattere nel set ASCII, personalmente ritengo che vietare i caratteri dalle password sia normalmente dovuto alle società che non desiderano aggiornare il loro codice per evitare correttamente la fornitura degli utenti. YMMV

Secondo l'articolo di wikipedia sul rafforzamento della password ( link ), il solo divieto ai personaggi serve VERAMENTE a RIDURRE l'entropia desiderata di una determinata password, rendendo più facile il crack forzato. Pertanto, da un punto di vista tecnico, sembra che la politica della password di JetBlue porti effettivamente a un sistema con password più semplici da usare.

Purtroppo, penso che tutto ciò sia solo speculazione, a meno che non ci sia un rappresentante JetBlue sul sito che è disposto a offrire una spiegazione ufficiale della politica ...

Il motivo sarebbe avere meno lavoro per l'amministratore in un ambiente con più layout di tastiera.

Considerando i layout di tastiera AZERTY e QWERTY, tutti i tasti sono uguali, eccetto Q - A , W - Z e ; - M .

Pertanto potrebbe essere utile evitare QWAZM nelle password perché rende più facile scrivere su layout di tastiera diversi.

Naturalmente, dato che dovresti anche inserire cifre e caratteri speciali, e questi sono tutti in posizioni diverse su ogni layout, potrebbe non essere troppo utile filtrare quelle lettere, comunque.