2010-01-03

http://anond.hatelabo.jp/20100103001300

パスワードを忘れたお客様には、新規に発行するのが昔からの伝統だな。

忘れた人に答えられると言うことは、システム側で平文で保存していると言うことをお客様に伝えているので都合が悪い。

逆に、その会社セキュリティを調べるために真っ先にするのは、パスワードを忘れた振りをして復元するだ。

それで平文が帰ってきた場合、セキュリティがザルだと思って良い。

そもそも、本人を偽られた場合(ソーシャルハッキングをされた場合に)個人情報であるパスワードを教えた責任は、騙されたでは済まない。

教えないで、新規にランダムパスワードを設定すれば十分。にもかかわらず、元のパスワードを教えろと言ってきた場合、それは、犯罪に関わっている可能性が高いと判断して問題ない。

そういう意味では、忘れた場合に自分が設定したパスワードが平文で帰ってくるサービスセキュリティがザルなので、使い捨てパスワードを設定しない利用者も悪いといえなくも無い。

多角的に考えて、パスワードを忘れたお客様対応も含めて、不必要な平文パスワード保存をしているということは、万が一のことがあった場合に、

お客様アカウントパスワードを売ろうと考えている悪徳業者か、銀行などの他のサービスに同一IDパスワードハッキングを狙った犯罪業者と言われても、

しょうがないリスクを背負ってまで、平文パスワードにするのは理由が分からない。

それこそ、犯罪目的としか思えない。

退職した社員の身辺調査は十分ですか?

過去最悪なのは、RAIDの予備側のHDDまるごと持ち出されたとかもあるのに。

記事への反応 -
  • こんなこと口が裂けても言えないし 転職しても言えないし 墓場まで持っていくしかない 自分が今の会社にいる間に爆発しないことを祈るだけ

    • パスワードを平文で保存なんて悪意があるとしか思えないな・・・ crypt関数一行でハッシュ化してくれる事を考えれば、ハッシュ化する事の工数はほぼ0 それを意図的に平文にするんだ...

      • うちは、平文保存だったシステムを作り替えたくてプロジェクトマネージャーに掛け合ったんだけど「パスワードを忘れたというお客様の問い合わせに答えないといけないから」という...

        • 乱数で適当な長さの文字列を作って、それに初期化するようなシステムにすれば良いんじゃない? パスワードを忘れた人には 「○○様 日頃は弊社サービスをご利用頂き誠にありがとう...

          • もちろんパスワード復帰の方法まで含めての提案だったんだけど、新入社員の発言力じゃ通らなかったという話で。 今年度は、イチから設計した別のシステムで何も言われないうちにさ...

            • パスワードを忘れたお客様には、新規に発行するのが昔からの伝統だな。 忘れた人に答えられると言うことは、システム側で平文で保存していると言うことをお客様に伝えているので都...

              • 大丈夫、力説してくれなくてもみんなわかってるから。ここに来るような人は。 古参の人が聞く耳持たなかったって話でしょうに。

              • 大丈夫、すこしでも啓蒙、微力でも啓蒙。 あと、パスワードをハッシュ化して保存は、インターネットより昔。UNIXの初期の頃からなので、 パスワードをハッシュ化する組の事を古参と...

              • ゆうちょ銀行オンラインのログインパスワードは、郵便局で手続きすると、封書で元のパスワードを送ってきました。 まあ、どこの銀行でもキャッシュカードの暗証番号は、忘れると郵...

                • 金融系は例外だね。もともと4桁の数字だけで成り立っている暗証番号に基づくシステムだし、『ネットよりも以前』からあるシステムだからな。 ネット以後のシステムや、ネットをチ...

      • サイバーの場合、たぶん一般人のパスワードは平文では保存してないと思うよ。 あれって芸能人ブログでサイバー側で管理を請けてるやつのリストなんだと思う。面倒なことがあったら...

    • DBへのアクセスが完璧にコントロールされてるのなら…まあ…いいじゃないか…。

    • うちもですごめんなさい

    • うちもですね。 それに関しては一応暗号化すべきだと言ったんですけど 管理しづらいっていう理由で却下されましたな・・・

    • 自分のところは暗号化ソフトやってるけど パスワードはユーザの環境にハッシュ化して保存してる

    • それが一般向けなWebサービスだったりすると・・・。 パスワードのリマインダーメールにパスワードが載っていたりすると、開いた口がふさがらない。 売れないサービス作っても意味な...

    • システム移管で外部のサービスを巻き取りするときに、生パスワードが来ると楽だったりする。 生パスワード保存していないサービスを移管する時ってハッシュコードとハッシュアルゴ...

      • ハッシュといえば昔から cryptと決まっているし 新しくてもMD5かSHA-1か512だろ?それ以外は互換性の理由からそれこそ使わない。 問題はハッシュアルゴリズムじゃなくて、ソルトの生成ア...

    • 大丈夫。 そういうサービスはパスワードリマインダーで打ち込んだパスワードが帰ってくるから大丈夫。 某大手協賛のサービスでは、なんのセキュリティーもかかっていない メールに...

    • サイバーだけではないだろうな。 楽天、mixi、DENA、はてな、GREE この中でちゃんとしている会社何社あると思う? web企業はセキュリティ周りはっきりいってむちゃくちゃ。 国の然るべ...

記事への反応(ブックマークコメント)

ログイン ユーザー登録
ようこそ ゲスト さん