パスワードを返信してくるWEBサービスは信用するな

「ブルータス、お前もか。」
今日もパスワードの問い合わせで、メールの本文にパスワードをそのまま返信してきたサービスがあったので。

今ある多くのWEBサービスは、サービスを利用するためにアカウント(またはメールアドレス)とパスワードをペアで入力してログインする必要があります。

多くの人は一度入力したパスワードをブラウザに記録しておくことで、次回の入力を省略しているかと思いますが、何かのタイミングでcookie情報を削除してしまったり、異なるブラウザでログインする際にパスワードを聞かれ、初期に登録したパスワードを思い出せないことってあると思います。

その場合、パスワードについてWEBサービスに問い合わせるといったアクションが必要になるのですが、「忘れたパスワードの問い合わせで、パスワードを返信してくるようなサービスは、そのWEBサービスを信用してはいけません。」

パスワードを返却できるということは、パスワードを暗号化なしの平文(またはそれに近い形)で保存しているということです。

そのようなサービスは、以下の危険性があります。

・WEBシステムに脆弱性があった場合に、あなたのアカウントとパスワードのペアが漏洩する。
・WEBシステムの担当者は今にでも、あなたのアカウントとパスワードのペアを盗み見れる。
・(アカウントとパスワードを他のWEBサービスで使いまわしている場合)、facebookやtwitterといったHUGE WEBサービスのアカウントをジャックされる。

また、このようなWEBサービスを運営している会社は、以下のような可能性があります。

・パスワードを平文で保存することの危険性を把握している人が、一人もいない。
・または、危険性を把握していても、その修正にお金を投資しない。
・修正を直すまでに、腰の重い大企業病にかかっている。

現時点の、パスワードの問い合わせに対するベストプラクティスは、再度、ユーザにメールを再設定させる形をとります。なぜなら、そのような正しいWEBサービスでは、ユーザが登録したパスワード自体を管理していないからです。ユーザが入力したパスワードを、WEBサービスも分からないので再設定させるしかないのです。

つまり、仮に脆弱性があってアカウントが漏洩しても、それのペアとなるパスワードは漏洩しません。

正しいWEBサービスは、入力されたパスワードをMD5、SHA1といったハッシュアルゴリズムにより、ハッシュ化したデータをアカウントと関連づけて保存します。

ハッシュというのは、(「オランダ語が語源で、斧でぶつ切りにするという意味を持つ。(つまりデータをぐちゃぐちゃにする)」というのを昔、本で読んだのだが、ググッても出てこず)、少しでもデータが異なると、元のデータと全く違う値をとるという性質があり、一方向性です。

一方向性というのは、保存しているハッシュ値から、登録したパスワードを連想できないということです。(少なくとも今の技術力では、簡単には)

くれぐれも、忘れたパスワードの問い合わせで、パスワードを返信してくるようなサービスは、そのWEBサービスを信用してはいけません。

いい感じ！