2012-11-11(日) [長年日記]
■ My docomoはパスワードのコピペを禁止するな
今回SoftBankからdocomoにMNPしたので請求書の確認なんかをするのにWebサイトに登録しないといけないなと思って、My docomoにユーザ登録をした。携帯との紐付けにワンタイムパスワードをSMSで送ってきたりして、ほぼPCだけで完結する手順はまぁまぁわかりやすかったのだけど、パスワードを決めるところで途方に暮れてしまった。
8~20文字の英数記号と書いてあるので、いつものようにKeePass Password Safeで最大文字数・文字種のパスワードを生成し、さぁ入力、という段になってこれである:
もうね、これでセキュリティが高まると思ってるんだとしたら大間違いだってことにそろそろ気づけよ。こんなこと言われたら、短くて入力しやすい文字種のパスワードしか作らないに決まってるだろ。この仕様を決めたのが発注者か開発者か知らんけど、ほんと想像力皆無。どこかにメモしておいてもいいから、とにかく長くて複雑なパスワードをサイトごとに個別に入力してもらうのが最優先だろうに。
で、どうしたかっつーと、KeePassには自動入力シーケンスのカスタマイズ機能があって、デフォルトではこうなっているのを:
{USERNAME}{TAB}{PASSWORD}{ENTER}
一時的にこうした:
{USERNAME}{TAB}{PASSWORD}{TAB}{PASSWORD}{ENTER}
なんでこんな苦労をせにゃあかんのだ*1。
*1 ブラウザのデベロッパーツールを起動して、該当入力フィールドの「onpaste」属性を削除してもよい。こっちのが楽かも。
素人がドコモのやることに口出しするな。
↑面白がってる人がいるから、このまま晒し者にしておきますね。
いい晒し者ですね。
不便にしただけのシステムでセキュリティが守れるなんて考えるのはいい加減やめにしてほしいものです。メールアドレスをわざわざ2回打たせるために間に@を固定配置したりとかね。
keepass(ver1.x) entryのnotesに、
(例) Auto-Type: {DELAY=100}{USERNAME}{TAB}{PASSWORD}
のように書いておくと各entryそれぞれのAuto-Type設定が可能です。
↑ なんで今さらわざわざ1.xの話を書いているのかわかんないけど、2.xではGUIから個別に設定できますよ。
メールアドレスの正確性を高めるため(笑)のコピペ防止も入力ミスの元