xaker

В паролях JetBlue нельзя использовать символы Q и Z

  • четверг, 15 мая 2014 г. в 03:10:42
http://www.xakep.ru/post/62496/

Американская авиакомпания JetBlue обратила на себя внимание специалистов по безопасности странными требованиями к паролям пользователей.

В справочном разделе на сайте есть параграф «Как изменить мой пароль к аккаунту TrueBlue?», он содержит несколько пунктов. Среди них есть и вполне стандартные советы выбирать пароль от 8 до 20 символов, сочетать цифры и буквы. Но есть и несколько экзотических требований: нельзя использовать правильные имена, нельзя повторять символ больше двух раз подряд и — самое интересное — нельзя использовать символы Q и Z!

Понятно, что запрет на имена и повтор символов связан с попыткой усложнить брутфорс паролей, но почему нельзя использовать символы Q и Z?

Судя по всему, причина столь странной политики — древний баг в системе бронирования авиабилетов Sabre, который обсуждался ещё два года назад. В те времена у Sabre вообще действовали феноменальные правила для паролей: длина строго 7 или 8 символов, запрет на специальные символы, и тот самый запрет на символы Q и Z. Оказывается, проблема до сих пор актуальна.

С чем связан баг в Sabre, до сих пор непонятно. Но известно, что эту систему начали разрабатывать в 1953 году, а ввели в строй в 1960 году. Там могут быть по-настоящему древние и непостижимые ограничения. Возможно, это как-то связано с кнопками телефонов, на которую в прежние годы не всегда помещались символы Q и Z, а кнопка с нулём была зарезервирована для вызова оператора.