Pourquoi n'autoriseriez-vous pas Q ou Z dans les mots de passe?

Sur les anciens téléphones , il n'y avait pas de lettres "Q" ou "Z": 7 est "PRS" et 9 est "WXY". Donc, si vous vouliez permettre aux utilisateurs d'entrer le mot de passe à l'aide du bouton du téléphone, "Q" et "Z" présentaient un problème. Les interdire est une solution facile, quoique quelque peu grossière.

Il y a une confirmation directe de Jetblue via CNN maintenant.

American Airlines et IBM ont développé SABRE pour faciliter la réservation de voyages par téléphone à grande échelle, en temps réel, à la fin des années 1960. Cependant, les téléphones rotatifs et à clavier n'avaient pas de Q ou Z à l'époque.

Le numéro 1 appartenait aux appels interurbains et 0 à l'opérateur. Cela a laissé huit chiffres pour couvrir l'alphabet entier. La Compagnie de téléphone Bell a attribué trois lettres à chaque numéro et omis les deux lettres que nous utilisons le moins: "Q" et "Z". C'est ainsi que les compagnies aériennes sont devenues dépendantes d'un système de réservation par téléphone avec un alphabet limité.

Sabre existe toujours et est partenaire de la plupart des compagnies aériennes, y compris JetBlue. JetBlue a déclaré à CNN que la règle "pas de Q ou Z" s'applique toujours aux employés de JetBlue accédant à Sabre. JetBlue a transmis la restriction aux membres TrueBlue pour leurs mots de passe, comme décrit dans la FAQ sur les mots de passe de l'entreprise.

La règle a été discrètement abandonnée et n'est plus active. Vous pouvez actuellement créer presque n'importe quel mot de passe que vous souhaitez, tant qu'il se situe entre huit et 20 caractères. JetBlue a déclaré à CNN qu'il mettait à jour sa page FAQ, mais la société ne commenterait pas le moment où elle a modifié la règle.

Les Q et les Z sont autorisés maintenant. Ce n'est pas un héritage de système hérité pour Sabre, mais c'était pour les clients de détail.

Comme d'autres personnes l'ont commenté, il s'agit d'un reliquat de cadrans téléphoniques et de pavés TouchTone (tm) initialement sans Q ou Z, et n'ayant pas d'emplacement cohérent lorsqu'ils ont été ajoutés par divers fabricants dans différents pays, et certains systèmes qui avaient besoin de l'option pour définir votre mot de passe sur un clavier d'ordinateur, mais aussi vous connecter ultérieurement à partir du clavier d'un téléphone.

Une conférence de conception d'interface utilisateur à Bell Labs, que j'ai remontée vers 1990, a eu une session sur le problème "Où mettre Q et Z sur un pavé TouchTone (tm)". L'orateur l'a appelé "Le problème qui ne mourra pas. "

Il a été assez bien suivi, car c'était à un moment opportun, et une question que tout le monde pouvait intuitivement comprendre et apprécier. Le problème et les solutions sont simples et arbitraires et celui que vous choisissez a des problèmes, ou parfois plus de problèmes.

Spéculation pure, mais Q et Z sont les lettres les moins fréquentes en anglais . Pour un attaquant qui regarde un flux de caractères saisis, peut-être depuis n téléphone sur une table à proximité , Q et Z pourraient signaler un mot de passe généré aléatoirement.

Fondamentalement, il n'y a aucune raison technologique pure et simple d'interdire ces deux caractères des mots de passe.

Cela étant dit, JetBlue peut (et il est impossible pour nous de savoir avec certitude sans confirmation de JetBlue) avoir soit:

1. Logique d'entreprise qui dicte une telle interdiction (même si, comme vous, je ne peux pas comprendre de raison)
2. Le code hérité dans leurs systèmes qui empêche l'utilisation de ces caractères ou de leur application Web peut importer des comptes d'utilisateur dans d'autres systèmes hérités qui ont une telle interdiction en place, de sorte qu'ils "font remonter" cette exigence vers l'application Web. Ce n'est pas rare dans les applications Web qui s'interfacent avec les anciens systèmes AS/400 (IBM iSeries) ou mainframe.

Étant donné que la plupart des plates-formes Web modernes permettent d'échapper à peu près n'importe quel caractère de l'ensemble ASCII, je trouve personnellement que l'interdiction des caractères des mots de passe est normalement due uniquement aux entreprises qui ne souhaitent pas mettre à jour leur code pour s'échapper correctement les utilisateurs d'entrée fournissent.

Selon l'article de wikipedia sur la force des mots de passe ( http://en.wikipedia.org/wiki/Password_strength ), l'interdiction de caractères ne sert que VRAIMENT à RÉDUIRE l'entropie souhaitée d'un mot de passe donné, ce qui facilite la brute -Fissurez la fissure. Par conséquent, d'un point de vue technique, il apparaît que la politique de mot de passe de JetBlue aboutit en fait à un système avec des mots de passe plus faciles à pirater.

Malheureusement, je pense que tout cela n'est que de la spéculation à moins qu'il n'y ait un représentant JetBlue sur le site qui soit disposé à offrir une explication officielle de la politique ...

La raison serait d'avoir moins de travail pour l'administrateur dans un environnement avec plusieurs dispositions de clavier.

Compte tenu de la disposition du clavier AZERTY et QWERTY, toutes les touches sont identiques, sauf Q - A, W - Z et ; - M.

Par conséquent, il peut être utile d'éviter QWAZM dans les mots de passe car cela facilite leur saisie sur différentes dispositions de clavier.

Bien sûr, étant donné que vous devrez également saisir des chiffres et des caractères spéciaux, qui se trouvent tous à des emplacements différents sur chaque mise en page, il pourrait ne pas être trop utile de filtrer ces lettres de toute façon.