登録パスワードを平文でメール送信するサイトが残念ながら存在し、それは「パスワードを忘れた場合」の操作をすればわかる

ぜひシェア願います!
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin
Share on Google+
Google+

【これは約 3 分の記事です】

この投稿は2016年1月31日に行っていますが、後述するようなサイトが少なくなることを願っています。

ユーザー登録が必要なサイトがある時、最近はTwitter認証かFacebook認証を使うことが多いのですが、どちらも使えない、もしくは使わないほうが良さそうと直感した時、ログイン頻度の低いサイトへのアカウント登録の場合には、私はデタラメのパスワードを入力します。

でたらめなのでパスワードを覚えません。

「次にログインする時どうするの?」

「パスワードを忘れた場合」を使います。

パスワードをわすれた時、そのサイトに登録しているメールアドレス宛に、パスワードをリセットするための方法を書いたメールが届きます。

それを実行することになりますが、この仕組は実質的にコールバック認証になります。なので、セキュリティが高くなります。

私の場合には、アカウント登録専用のメールアドレスを持っていて、そこにパスワードを忘れた場合のメールが届くようにしています。

この「パスワードを忘れた場合」ですが、この取扱で、そのサイトのセキュリティ意識の高さが推測できます。

残念なことに、パスワードを平文メールで送ってくるサイトも存在します。例えばこちらのサイトです。よくお使いになる方もいらっしゃると思います。(この投稿を書いている時点です)

写真AC

私も使うことがあるので、もちろんパスワードはでたらめで、新規ログイン時にはパスワードをリセットするようにしています。

パスワードを平文で送る、ということは、パスワードをハッシュ化して管理していないということです。私が「パスワードの定期更新の危険性」について書いた時、「パスワードはハッシュ化してDB管理されているので問題がない」という反論がありましたが、現実ハッシュ化されずに管理されている場合も少なくありません。

佐藤英治

情報処理安全確保支援士第5338号。ネットワークスペシャリスト。防災士。ITコーディネータ。IPA登録セキュリティプレゼンター。

東北大学大学情報科学研究科第2期生。1994年からインターネットに携わる。システムベンダーの総務社内SEとして、社内システムの構築運用や従業員教育に関与。2015年情報セキュリティ専門法人「まるおかディジタル株式会社」を福井県坂井市丸岡町に設立し現在に至る。研修では基本的に着物でお話させていただいております。

情報セキュリティの研修・IT関連資格取得支援・コンサルティング・セキュリティアクション宣言の支援・取材のお問い合わせなどございましたら、こちらからご連絡ください。

メール・お電話・FAX・Facebook
https://www.maruoka-digital.jp/contact/form/

セミナーの実績

ぜひシェア願います!
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin
Share on Google+
Google+