¿Por qué no permitiría Q o Z en las contraseñas?

Es un remanente de la época cuando los teclados no tenían las letras Q y Z . En cuanto a la seguridad, no hay razón. Es solo por los viejos sistemas.

Para aclarar:

Antes podías ingresar tu contraseña por teléfono. Algunos teléfonos no tenían las letras Q o Z, como la de la imagen de abajo.

  

_{Imagen cortesía: Bill Bradford en flickr.com}

Debido a esto, las contraseñas que incluyen estos caracteres no fueron permitidas. No han cambiado este requisito por ningún motivo: sistemas heredados, documentación deficiente o simplemente no les importa.

En teléfonos viejos , no había letras "Q" o "Z": 7 es "PRS" y 9 es "WXY". Entonces, si desea permitir que los usuarios ingresen la contraseña con el botón del teléfono, "Q" y "Z" presentaron un problema. Rechazarlos es una solución fácil, aunque algo cruda.

Hay confirmación directa de Jetblue a través de CNN ahora.

American Airlines e IBM desarrollaron SABRE para facilitar la realización de reservas de viajes por teléfono a gran escala, en tiempo real, a fines de los años sesenta. Sin embargo, los teléfonos rotativos y de tonos no tenían una Q o una Z entonces.

  

El número 1 pertenecía a llamadas de larga distancia y 0 para el operador.   Eso dejaba ocho números para cubrir todo el alfabeto. Campana telefono   La compañía asignó tres letras a cada número y omitió las dos.   Letras que menos usamos: 'Q' y 'Z'. Así se hicieron las aerolíneas.   Depende de un sistema de reserva basado en teléfono con un alfabeto limitado.

Sabre aún existe, y se asocia con la mayoría de las aerolíneas, incluido JetBlue. JetBlue le dijo a CNN que la regla "no Q o Z" todavía se aplica a los empleados de JetBlue que acceden a Sabre. JetBlue pasó la restricción a los miembros de TrueBlue para obtener sus contraseñas, tal como se describe en las Preguntas frecuentes sobre contraseñas de la empresa.

  

La regla se eliminó silenciosamente y ya no está activa. Usted puede   actualmente cree casi cualquier contraseña que desee, siempre que esté entre   Ocho y 20 caracteres. JetBlue le dijo a CNN que ahora está actualizando sus preguntas frecuentes   página, pero la compañía no quiso comentar cuándo cambiaron la regla.

Se permiten Qs y Zs ahora. No es un remanente de sistema heredado para Sabre, pero fue para clientes minoristas.

Como otras personas han comentado, es un resto de marcaciones telefónicas y teclas TouchTone (tm) que inicialmente no tienen Q o Z, y no tienen ubicaciones consistentes cuando fueron agregadas por varios fabricantes en varios países, y algunos sistemas que necesitaba la opción para establecer su contraseña en el teclado de una computadora, pero más tarde también inicie sesión desde el teclado de un teléfono.

En una conferencia de diseño de interfaz de usuario en Bell Labs a la que asistí en 1990, tuve una sesión sobre el problema "Dónde colocar Q y Z en un teclado TouchTone (tm)". El orador se refirió a él como " El problema que simplemente no morirá ".

Fue muy concurrido, porque se encontraba en un momento conveniente y un problema que todos podían comprender y apreciar de manera intuitiva. El problema y las soluciones son simples y arbitrarios, y cualquiera que elija tiene problemas con él o, a veces, más problemas.

Especulación pura, pero Q y Z son las letras menos frecuentes en inglés . Para un atacante que mira una secuencia de caracteres de entrada, quizás de un teléfono en una mesa cercana , Q y Z podrían indicar una contraseña generada aleatoriamente.

Fundamentalmente, no hay ninguna razón tecnológica absoluta para prohibir las contraseñas de estos dos personajes.

Dicho esto, JetBlue puede (y es imposible para nosotros saberlo con certeza sin la confirmación de JetBlue):

1. Lógica de negocios que dicta dicha prohibición (aunque yo, como usted, no puedo entender una razón)
2. código heredado en sus sistemas que impide el uso de estos personajes o su aplicación web puede importar cuentas de usuario a otros sistemas heredados que tienen dicha prohibición en su lugar, por lo que "burbujean" Ese requisito para la aplicación web. Esto no es infrecuente en las aplicaciones web que interactúan con sistemas AS / 400 (IBM iSeries) o mainframe más antiguos.

Dado que la mayoría de las plataformas web modernas permiten el escape de casi cualquier carácter en el conjunto ASCII, personalmente encuentro que la prohibición de los caracteres de las contraseñas normalmente se debe a que las empresas no desean actualizar su código para escapar de la fuente de entrada de los usuarios. YMMV

De acuerdo con el artículo de wikipedia sobre la seguridad de la contraseña ( enlace ), prohibir los caracteres REALMENTE sirve para REDUCIR la entropía deseada Una contraseña dada, facilitando el crack de fuerza bruta. Por lo tanto, desde una perspectiva técnica, parece que la política de contraseña de JetBlue en realidad da como resultado un sistema con contraseñas más fáciles de hackear.

Desafortunadamente, creo que todo esto es una mera especulación, a menos que haya un representante de JetBlue en el sitio que esté dispuesto a ofrecer una explicación oficial de la política ...

El motivo sería tener menos trabajo para el administrador en un entorno con varias distribuciones de teclado.

Teniendo en cuenta las distribuciones de teclado AZERTY y QWERTY, todas las teclas son iguales, excepto Q - A , W - Z y ; - M .

Por lo tanto, podría ser útil evitar QWAZM en las contraseñas porque hace que sea más fácil escribirlas en diferentes distribuciones de teclado.

Por supuesto, ya que también tendría que ingresar dígitos y caracteres especiales, y todos ellos están en diferentes ubicaciones en cada diseño, de todos modos, podría no ser demasiado útil para filtrar esas letras.