Es ist ein Überbleibsel aus der Zeit , als die Tastaturen nicht die Buchstaben Q und Z hatten. In Bezug auf die Sicherheit gibt es keinen Grund. Es liegt nur an alten Systemen.

Zur Verdeutlichung:

Früher konnten Sie Ihr Passwort über das Telefon eingeben. Einige Telefone hatten nicht die Buchstaben Q oder Z, wie das auf dem Bild unten.

_{Mit freundlicher Genehmigung von Bill Bradford auf flickr .com sub>}

Aus diesem Grund wurden Passwörter mit diesen Zeichen nicht zugelassen. Sie haben diese Anforderung aus irgendeinem Grund nicht geändert: Legacy-Systeme, schlechte Dokumentation oder es ist ihnen einfach egal.

Auf alten Telefonen gab es keine Buchstaben "Q" oder "Z": 7 ist "PRS" und 9 ist "WXY". Wenn Sie Benutzern die Eingabe des Kennworts über die Taste am Telefon ermöglichen möchten, stellten "Q" und "Z" ein Problem dar. Sie nicht zuzulassen ist eine einfache - wenn auch etwas grobe - Lösung.

Es gibt jetzt eine direkte Bestätigung von Jetblue über CNN .

American Airlines und IBM haben SABRE entwickelt, um telefonische Reisereservierungen in größerem Maßstab zu ermöglichen. in Echtzeit, in den späten 1960er Jahren. Rotary- und Touch-Tone-Telefone hatten damals jedoch kein Q oder Z.

Die Nummer 1 gehörte zu Ferngesprächen und 0 für den Betreiber. Damit blieben acht Zahlen für das gesamte Alphabet übrig. Die Bell Telephone Company hat jeder Nummer drei Buchstaben zugewiesen und die beiden Buchstaben, die wir am wenigsten verwenden, weggelassen: "Q" und "Z". Auf diese Weise wurden Fluggesellschaften von einem telefonbasierten Reservierungssystem mit einem begrenzten Alphabet abhängig.

Sabre existiert immer noch und arbeitet mit den meisten Fluggesellschaften zusammen, einschließlich JetBlue. JetBlue teilte CNN mit, dass die Regel "kein Q oder Z" weiterhin für JetBlue-Mitarbeiter gilt, die auf Sabre zugreifen. JetBlue gab die Einschränkung für ihre Passwörter an TrueBlue-Mitglieder weiter, wie in den häufig gestellten Fragen zu Firmenkennwörtern beschrieben.

Die Regel wurde stillschweigend gelöscht und ist nicht mehr aktiv. Sie können derzeit fast jedes gewünschte Passwort erstellen, sofern es zwischen acht und 20 Zeichen lang ist. JetBlue teilte CNN mit, dass es jetzt seine FAQ-Seite aktualisiert, aber das Unternehmen würde nicht kommentieren, wann es die Regel geändert hat.

Qs und Zs sind jetzt zulässig. Es ist kein Legacy-System-Holdover für Sabre, sondern für Einzelhandelskunden.

Wie andere Leute kommentiert haben, ist es ein Überbleibsel von Telefonzifferblättern und TouchTone (tm) -Pads, die anfangs kein Q oder Z hatten und keine konsistenten Positionen hatten, als sie von verschiedenen Herstellern in verschiedenen Ländern hinzugefügt wurden, und einige Systeme, die brauchte die Option, Ihr Passwort auf einer Computertastatur festzulegen, sich aber später auch über eine Telefontastatur anzumelden.

Eine Konferenz zum Design von Benutzeroberflächen bei Bell Labs, zu der ich um 1990 ging, hatte eine Sitzung zum Thema "Wohin?" Setzen Sie Q und Z auf ein TouchTone (tm) -Pad "-Problem. Der Sprecher bezeichnete es als " Das Problem, das einfach nicht sterben wird i>".

Es war ziemlich gut besucht, weil es zu einem günstigen Zeitpunkt war und ein Thema, das jeder intuitiv verstehen und schätzen konnte. Das Problem und die Lösungen sind einfach und willkürlich und jeder, den Sie auswählen, hat Probleme damit oder manchmal mehr Probleme.

Reine Spekulation, aber Q und Z sind die am seltensten vorkommenden Buchstaben in Englisch. Für einen Angreifer, der einen Strom von Eingabezeichen beobachtet, möglicherweise von einem Telefon auf einem Tisch in der Nähe, könnten Q und Z ein zufällig generiertes Passwort signalisieren.

Grundsätzlich gibt es keinen direkten technologischen Grund, diese beiden Zeichen aus Passwörtern zu verbannen.

Allerdings kann JetBlue (und es ist uns unmöglich, dies ohne Bestätigung von JetBlue sicher zu wissen) dies auch tun :

1. Geschäftslogik, die ein solches Verbot vorschreibt (obwohl ich, wie Sie, keinen Grund ergründen kann)
2. Legacy-Code in ihren Systemen, der die Verwendung dieser Zeichen verhindert oder ihre Web-App importiert möglicherweise Benutzerkonten in andere Legacy-Systeme, für die ein solches Verbot gilt, sodass sie diese Anforderung in die Web-App "aufblähen". Dies ist in Web-Apps, die mit älteren AS / 400- (IBM iSeries) oder Mainframe-Systemen kompatibel sind, nicht ungewöhnlich.
ol>

Angesichts der Tatsache, dass die meisten modernen Webplattformen es ermöglichen, so gut wie jedem Zeichen im ASCII-Satz zu entkommen Ich persönlich finde, dass das Verbot von Zeichen aus Passwörtern normalerweise nur darauf zurückzuführen ist, dass Unternehmen ihren Code nicht aktualisieren möchten, um der Eingabe durch die Benutzer ordnungsgemäß zu entgehen. YMMV

Laut dem Wikipedia-Artikel zur Passwortstärke ( http://en.wikipedia.org/wiki/Password_strength) dient das Verbot von Zeichen nur WIRKLICH dazu, die gewünschte Entropie von zu reduzieren ein vorgegebenes Passwort, das das Brute-Force-Knacken erleichtert. Aus technischer Sicht scheint die Kennwortrichtlinie von JetBlue tatsächlich zu einem System mit leichter zu hackenden Kennwörtern zu führen.

Leider denke ich, dass dies alles nur Spekulation ist, es sei denn, es gibt einen JetBlue-Vertreter auf der Website, die bereit ist, eine offizielle Erklärung der Richtlinie anzubieten ...

Der Grund wäre, dass der Administrator in einer Umgebung mit mehreren Tastaturlayouts weniger Arbeit hat.

In Anbetracht der Tastaturlayouts AZERTY und QWERTY sind alle Tasten mit Ausnahme von Q - A , W - Z und ; - M .

Daher kann es nützlich sein, QWAZM in Kennwörtern zu vermeiden, da sie dadurch einfacher in verschiedene Tastaturlayouts eingegeben werden können.

Da Sie auch Ziffern und Sonderzeichen eingeben müssten und diese sich alle an unterschiedlichen Stellen in den einzelnen Layouts befinden, ist es möglicherweise nicht allzu nützlich, diese Buchstaben herauszufiltern.