テクノロジー

パスワード入力のmaxlengthで長いパスワードで登録できたつもりになってた問題2026

1: umaemong 2026/07/03 23:33

本件はこの指摘が正しいと思う。元々20桁入力できていたというのが勘違い。パスワード管理ツールあるある。

2: nguyen-oi 2026/07/03 23:34

フロントのmaxlengthで勝手に切り詰めるの、昔からある罠だけど未だにデマの燃料になるんだな

3: Windfola 2026/07/03 23:46

不親切と言うより、ごめんなさいすべき所を仕様変更で押し切るのはさすがにゴミでは。/SBIかあ

4: hobbiel55 2026/07/04 00:20

つまり、認証時に16文字以降を間違って入力しても認証されてたってこと? どんなテスト項目になってたんだろうなあ。

5: lainof 2026/07/04 00:36

↓ログイン画面で15文字しか入力できないようになってるから、16文字以降は入力されていない。入力したつもりの人がいただけってこと。

6: sumomo-kun 2026/07/04 00:42

現在のパスワード「pass...1」新しいパスワード「pass...2」エラー「現在のパスワードと同じです」

7: yosida95 2026/07/04 00:45

maxlength を指定するとブラウザはそれを超える入力を受け付けずエラーにもせず静かに切り詰める。そうして意図より短く設定されたパスワードが、後の仕様変更で入力した全桁検証されて一致しなくなったという指摘

8: n2sz 2026/07/04 00:59

まあパスワード欄だと入力したけど反映されないパターンは気付きにくいか。maxlength使わずに文字数チェックの実装の方がいいのかもねえ。

9: ustam 2026/07/04 01:50

ただ、元々15桁に制限してた理由が平文保存のためだとしたら、どうしてそれがまだ使えるの? ハッシュ化に切替えたならパスワードリセットが必要では? ということで、平文保存疑惑が払拭されたわけではなくない?

10: gewaa 2026/07/04 02:03

「パスワードシステムの改定で以前使っていた自動生成の20桁のパスワードが長すぎ、15桁までカットした」という最初のポストが事実と異なるのか。たしかにカットする意味がない点に違和感はあった。完全に納得。

11: rna 2026/07/04 02:15

たまによくあるやつ。新仕様移行後にパスワード変更してないユーザーはエラー後に旧仕様互換の動作で認証してから警告画面出すとかして欲しいよね。

12: hogetax 2026/07/04 03:56

最初のポストの推測が稚拙というのはその通りだけど、そもそもハッシュ化は推奨であって要件によっては平文でも良いと思っているので全体としてモヤっとする

13: greenbow 2026/07/04 06:11

なるほど。ペーストしたとき切り詰められるけど、ドットの数が15文字分しかないことには気づきにくいか。 / 旧版フォームに「12345678901234567890」 をコピペしてみたけどぱっと見わからないかも。

14: venus902 2026/07/04 06:26

最初よくわからなかったけど、「⚫︎⚫︎⚫︎⚫︎」が15個とかになると数えられないから入力したつもりになってしまうということか

15: sgo2 2026/07/04 06:58

アカウント登録フォームではmaxlengthで切るけど、照合フォームでは切らないシステムが有って登録出来なかった事が有る。(呆れて登録するのはやめた)

16: dekaino 2026/07/04 07:24

いにしえのUNIX V7からの伝統で、md5cryptが導入されるまではlinuxもbsdもパスワードは8桁まで有効でそれ以降は何を入れても影響なしだったね

17: FlowerLounge 2026/07/04 08:30

これを解説する際に肝になるであろう、パスワード入力時は表示が「⚫︎」になるという前提が書かれてないので最初読んでもわからなかった

18: shoh8 2026/07/04 08:55

そう。私もこれだと思った。もともと15文字までしか入力できなかったのが、変更で15文字以上入力できるようになった

19: auto_chan 2026/07/04 10:19

2037年7月アップデート:パスワードマネージャ側がこの問題を検出できるようになりました

20: koseki 2026/07/04 11:12

なるほどー。ユーザ側で15文字以上登録したつもりになってただけで実装には問題ないってことか

21: strawberryhunter 2026/07/04 11:29

弊社が手掛けたシステムを確認したら、maxlength="200"みたいな制限はしてたな。最新のは無制限だった。

22: toaruR 2026/07/04 11:43

長くウェブやってるほど気付かない盲点だな(´-`)

23: mkusaka 2026/07/04 12:42

password maxlengthで入力が64文字に切詰められ、登録表示と送信内容が不一致になる問題をファクトチェックする。平文保存は根拠なし。

24: mohno 2026/07/04 12:56

そうだとしても、「常識的に考えて」←「20桁が長すぎるから15桁に縮めて」じゃないってことだし、それ自体が非常識なのでは。

25: camellow 2026/07/04 14:37

パスワード設定時は文字数をしても勝手に切り詰めて登録されるのに、次回ログインの時は切り詰められないから結果としてパスワード間違いの判定をされサイトはたまにあるね。何度かやられた事がある。

26: Fushihara 2026/07/04 14:52

これはmaxlengthの仕様が悪いよ。せめてペーストした時に文字数が超過した時はバリデーションエラーのUI出せよ。それかペースト自体を失敗させるか。サイレントで切るのが一番良くない。