パスワードを返信してくるWEBサービスは信用するな
「ブルータス、お前もか。」
今日もパスワードの問い合わせで、メールの本文にパスワードをそのまま返信してきたサービスがあったので。
今ある多くのWEBサービスは、サービスを利用するためにアカウント(またはメールアドレス)とパスワードをペアで入力してログインする必要があります。
多くの人は一度入力したパスワードをブラウザに記録しておくことで、次回の入力を省略しているかと思いますが、何かのタイミングでcookie情報を削除してしまったり、異なるブラウザでログインする際にパスワードを聞かれ、初期に登録したパスワードを思い出せないことってあると思います。
その場合、パスワードについてWEBサービスに問い合わせるといったアクションが必要になるのですが、「忘れたパスワードの問い合わせで、パスワードを返信してくるようなサービスは、そのWEBサービスを信用してはいけません。」
パスワードを返却できるということは、パスワードを暗号化なしの平文(またはそれに近い形)で保存しているということです。
そのようなサービスは、以下の危険性があります。
・WEBシステムに脆弱性があった場合に、あなたのアカウントとパスワードのペアが漏洩する。
・WEBシステムの担当者は今にでも、あなたのアカウントとパスワードのペアを盗み見れる。
・(アカウントとパスワードを他のWEBサービスで使いまわしている場合)、facebookやtwitterといったHUGE WEBサービスのアカウントをジャックされる。
また、このようなWEBサービスを運営している会社は、以下のような可能性があります。
・パスワードを平文で保存することの危険性を把握している人が、一人もいない。
・または、危険性を把握していても、その修正にお金を投資しない。
・修正を直すまでに、腰の重い大企業病にかかっている。
現時点の、パスワードの問い合わせに対するベストプラクティスは、再度、ユーザにメールを再設定させる形をとります。なぜなら、そのような正しいWEBサービスでは、ユーザが登録したパスワード自体を管理していないからです。ユーザが入力したパスワードを、WEBサービスも分からないので再設定させるしかないのです。
つまり、仮に脆弱性があってアカウントが漏洩しても、それのペアとなるパスワードは漏洩しません。
正しいWEBサービスは、入力されたパスワードをMD5、SHA1といったハッシュアルゴリズムにより、ハッシュ化したデータをアカウントと関連づけて保存します。
ハッシュというのは、(「オランダ語が語源で、斧でぶつ切りにするという意味を持つ。(つまりデータをぐちゃぐちゃにする)」というのを昔、本で読んだのだが、ググッても出てこず)、少しでもデータが異なると、元のデータと全く違う値をとるという性質があり、一方向性です。
一方向性というのは、保存しているハッシュ値から、登録したパスワードを連想できないということです。(少なくとも今の技術力では、簡単には)
くれぐれも、忘れたパスワードの問い合わせで、パスワードを返信してくるようなサービスは、そのWEBサービスを信用してはいけません。
いい感じ!
この記事が気に入ったら
いいね!してね
最新情報をお届けします!
この記事が気に入ったら
いいね!してね
最新情報をお届けします!