登録パスワードを平文でメール送信するサイトが残念ながら存在し、それは「パスワードを忘れた場合」の操作をすればわかる

ぜひシェア願います!
Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
Linkedin

【これは約 3 分の記事です】

この投稿は2016年1月31日に行っていますが、後述するようなサイトが少なくなることを願っています。

ユーザー登録が必要なサイトがある時、最近はTwitter認証かFacebook認証を使うことが多いのですが、どちらも使えない、もしくは使わないほうが良さそうと直感した時、ログイン頻度の低いサイトへのアカウント登録の場合には、私はデタラメのパスワードを入力します。

でたらめなのでパスワードを覚えません。

「次にログインする時どうするの?」

「パスワードを忘れた場合」を使います。

パスワードをわすれた時、そのサイトに登録しているメールアドレス宛に、パスワードをリセットするための方法を書いたメールが届きます。

それを実行することになりますが、この仕組は実質的にコールバック認証になります。なので、セキュリティが高くなります。

私の場合には、アカウント登録専用のメールアドレスを持っていて、そこにパスワードを忘れた場合のメールが届くようにしています。

この「パスワードを忘れた場合」ですが、この取扱で、そのサイトのセキュリティ意識の高さが推測できます。

残念なことに、パスワードを平文メールで送ってくるサイトも存在します。例えばこちらのサイトです。よくお使いになる方もいらっしゃると思います。(この投稿を書いている時点です)

写真AC

私も使うことがあるので、もちろんパスワードはでたらめで、新規ログイン時にはパスワードをリセットするようにしています。

パスワードを平文で送る、ということは、パスワードをハッシュ化して管理していないということです。私が「パスワードの定期更新の危険性」について書いた時、「パスワードはハッシュ化してDB管理されているので問題がない」という反論がありましたが、現実ハッシュ化されずに管理されている場合も少なくありません。

ぜひシェア願います!
Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
Linkedin