パスワード再発行で見えてくる危ないサービス

パスワード再発行したことあります?

これだけオンラインサービスがはやるとパスワードをつい忘れてしまうと思います。
パスワードを忘れたときはパスワードリセット、パスワード再発行的なものをすることになります。

再発行手続きの方法は?

サービスによっていろいろなタイプがあると思います。

  1. 登録したパスワードが送られてくるもの
  2. サイト側で変更したパスワードが送られてくるもの
  3. パスワード変更用リンクが送られてくるもの

上から順に安全な方法になります。銀行なんかはさらに、郵便で配達という
安全な方式で実施しているのがほとんどだと思います。

1が危ない理由は、サイトに利用者のパスワードがそのまま登録されているためです。
つまり、サーバ側でパスワードの把握が可能なのです。

サーバにパスワード知られるのは当たり前では?と思われるかもしれませんが、
そうではありません。

たとえば、誰かがサーバに侵入すると、ユーザのパスワードを入手できる可能性があります。
このパスワードをつかって犯人は有名なサービスにアクセスを試みるでしょう。リスト攻撃。

また、メールは必ず暗号化されているとは限らないので、配送経路で改ざんされている
可能性もあります。

お手軽かつ安全な方式は?

そもそも、サーバにパスワードを直接送る方式な時点でそれなりに危険にはなります。
理想的にはクライアントサイド(Javascriptなど)で暗号化したパスワードを送り、
パスワードを平文では送信しないことが推奨となります。

確認方法は?

送信フォームのJavascriptなどをコードで確認するしかないと思います。

ただ、元々お伝えしていたようにせめてサーバで平文保存をしないサービスが
大事です。

パスワードリセットをしてみてパスワードがそのまま送られてくるサイトは
要注意、です。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です