Jetblue的密码要求规定了其他严格要求,其中包括:


不能包含Q或Z。


我不能理解逻辑上的原因除非有这样的说法,否则键盘左侧的断裂非常普遍,但是您也不允许'A':)

此安全要求的原因是什么?

评论

我想这是为了与旧系统兼容。电话以前没有Q或Z。这只是为什么它不是两个随机字母的猜测。

似乎已记录了该限制,但未强制执行。

从今天起该页面上不再列出限制。

@tgies我敢打赌这可能使他们醒了。

这是Jetblue更新页面之前的页面缓存。

#1 楼

这是小键盘上没有字母Q和Z的时候的剩余食物。从安全角度而言,没有理由。只是由于系统过旧。

要澄清一下:

您以前可以通过电话输入密码。某些手机​​没有字母Q或Z,如下图所示。


图片提供:flickr.com上的Bill Bradford


因此,不允许包含这些字符的密码。他们出于任何原因都没有改变此要求:旧系统,糟糕的文档,或者根本不在乎。

评论


我找到一张用于校样的图像

– dnelson
14年5月14日在1:28



Straight Dope对于为什么省略Q给出了答案... straightdope.com/columns/read/351 / ...

– visakh
14年5月14日在12:29

嗯...但是他们(JetBlue)也说密码区分大小写。手机垫的说明似乎与此不符。

–丹尼尔(Daniel)
2014年5月14日14:42

@visakh-有时它们都为0。有时为1.。最常见的是,我看到Q推为7,Z推为9。

–鲍勃森
2014年5月14日15:24

@Bobson我遇到了一个更重要的原因:如果带有Q或Z的键不是确定的,那么将很难提供安全的电话界面...因为您必须允许2个不同的数字字符串被认为对单个密码有效

–丹克鲁姆
2014年5月14日17:50



#2 楼

在旧手机上,没有字母“ Q”或“ Z”:7是“ PRS”,9是“ WXY”。因此,如果要允许用户使用电话上的按钮输入密码,则“ Q”和“ Z”会出现问题。禁止使用它们是一个简单的解决方案(即使有些粗略)。

评论


真正的问题是,有时7是“ PQRS”,9是“ WXYZ”,有时它们是“ PRS”和“ WXY”,而1是“ QZ”。

– corsiKa
2014年5月15日17:12

#3 楼

现在,Jetblue已通过CNN直接确认了这一消息。

美国航空和IBM开发了SABER,以促进在1960年代后期通过电话实时进行大规模的旅行预订。但是,旋转式和按键式电话则没有Q或Z。


数字1属于长途电话,而操作员0属于电话。
剩下八个数字以覆盖整个字母。贝尔电话公司为每个数字分配了三个字母,并省略了我们使用最少的两个字母:“ Q”和“ Z”。这就是航空公司变得
依赖于字母受限的基于电话的预订系统的原因。

Sabre仍然存在,并且与包括JetBlue在内的大多数航空公司都有合作伙伴关系。捷蓝航空告诉CNN,“无Q或Z”规则仍适用于捷蓝航空员工访问Sabre的情况。如公司密码常见问题中所述,JetBlue将限制信息传递给TrueBlue会员以提供其密码。


该规则已悄然删除,不再有效。目前,您可以
创建几乎任何您想要的密码,只要它介于8到20个字符之间即可。 JetBlue告诉CNN,现在正在更新其常见问题解答页面,但该公司在更改规则时不会发表评论。


现在允许使用Q和Z。对于Sabre而言,这不是遗留系统的保留,但对于零售客户而言,则是保留。

#4 楼

正如其他人所评论的那样,这是电话拨号盘和TouchTone(tm)垫子上的残余物,这些垫子最初没有Q或Z,并且在各个国家/地区的不同制造商添加它们时并没有一致的位置,并且某些系统需要该选件可以在计算机键盘上设置密码,但随后也可以通过电话键盘登录。

我在1990年左右去过的贝尔实验室的一次用户界面设计会议上,就“将Q放在哪里”进行了一次会议。和Z放在TouchTone(tm)垫上”问题。演讲者称其为“不会死的问题”。

由于参加会议的时间很方便,而且出席会议的每个人都可以直观地理解和欣赏,所以参加会议的人很多。问题和解决方案简单而随意,您选择的任何一个都有问题,有时甚至是更多问题。

#5 楼

纯粹是猜测,但是Q和Z是英语中出现频率最低的字母。对于攻击者来说,Q和Z可能发出随机生成的密码。

评论


不同于JHKNBTRW?

–用户
2014年5月15日14:47

@MichaelKjörling您的示例需要已经查看了上下文。捕获示例肯定比仅查找Q和Z困难(并且需要更少的资源)。

– 11684
14年5月15日在16:05

#6 楼

从根本上讲,没有任何直接的技术理由禁止密码中的这两个字符。

话说,JetBlue可能(而且,在没有得到JetBlue确认的情况下,我们无法确定): br />

商业逻辑规定了这样的禁令(尽管我,像你一样,
无法理解原因)
他们系统中的传统代码阻止了
使用这些字符或其Web应用程序可能会将用户帐户导入具有相应禁令的另一个旧系统,因此它们会“鼓吹”该要求到Web应用程序。在与较早的AS / 400(IBM iSeries)或大型机系统连接的Web应用程序中,这种情况并不少见。

鉴于大多数现代Web平台都允许转义ASCII集的几乎所有字符,我个人发现禁止使用密码中的字符通常仅是由于公司不想更新其代码以适当地逃避输入用户提供的输入。 YMMV

根据有关密码强度的Wikipedia文章(http://en.wikipedia.org/wiki/Password_strength),仅禁止字符真正地用于减少给定密码的所需熵,从而使操作更容易暴力破解。因此,从技术角度看,JetBlue的密码策略实际上导致系统具有易于破解的密码。

不幸的是,我认为所有这些都只是推测,除非有JetBlue代表在愿意提供官方政策解释的网站...

评论


另一个答案证明存在一个可能的原因:可以在10键电话键盘上输入它的能力。

–没人
14年5月14日在1:37

实际上,AS / 400系统确实允许所有键空间,除非它们不区分大小写。 (我有一个在工作)。

– SnakeDoc
14年5月14日在1:43

确实,德国Engima机器的主要缺点是它们不会将字母本身编码为-减少了加密消息的熵,这使波兰人/布莱奇利公园有了一个良好的开端

– adrianmcmenamin
14年5月14日在12:11

正如Bryan所建议的那样,@ AndrewMedico是一个传统系统,有望处理缺少Q和Z的电话键盘,这可能是Web应用程序受限制的原因。但是,正如对该问题的评论中所提到的,QZ限制并未得到实施,现在已从文档中删除。也许他们的开发人员之一经常使用安全性。 :)

– Brian S
2014年5月15日19:21

#7 楼

原因是在具有多个键盘布局的环境中,管理员的工作量减少。

考虑到AZERTY和QWERTY键盘布局,除Q - AW - Z; - M之外,所有键都相同。

因此避免使用QWAZM可能很有用,因为这样可以使它们更容易在不同的键盘布局上键入。

当然,由于您还必须输入数字和特殊字符,而且它们都在每种布局上都位于不同的位置,无论如何,过滤掉那些字母可能并不太有用。

评论


从历史上看,我怀疑这是可接受的答案,但我确实很喜欢这个答案。

–马克·梅奥(Mark Mayo)
2014年5月14日7:02

如果出现不同的键盘布局,则密码只能包含数字(可能还有Shift + digit的标点符号)。 Dvorak和QWERTY仅在数字键和字母A和M上匹配。AZERTY在字母上甚至不匹配。

– cHao
2014年5月14日15:42

@cHao移位的字母数字部分数字键随键盘区域的不同而有很大差异。在我的情况下,它是!“#¤%&/()=?,表示未移位的是1234567890+。在美国键盘上,一开始,Shift + 4给出$,并且括号被右移一个键位置。

–用户
2014年5月15日14:51



一个有创意的答案,但是我不确定,如果是这种情况,那么将不得不禁止更多字母(例如A,W等),因为它们存在相同的问题,不是吗?

–费尔南多·冈萨雷斯·桑切斯(Fernando Gonzalez Sanchez)
2014年5月15日19:11



我确实积极避免在必须输入的密码中使用一些标点符号,因为在Windows和Ubuntu上,我的键盘有时无故切换为“美国”字样。

– TRiG
16年7月29日在9:47