2011/05/21

パスワードのお話



やってくれました、TOYOTA・・・
Gazoo.comが乗っ取られたところで実害はないだろうという判断だと思う。
でも、あかん。これはあかんよ。TOYOTAさん・・・

というわけで、パスワードのお話。

【mixoしっかり編】
1.SNSサービス「mixo」にユーザー登録してみましょう。
ユーザー名:taro
パスワード:hoge

2.SNSサービス「mixo」は、ユーザ名と(一方通行変換※した)パスワードを保存しました。
ユーザー名:taro
パスワード:("hoge") を一方通行変換→ ea703e7aa1efda0064eaa507d9e8ab7e

※A→Bに変換後、B→Aは変換できない仕組み。ハッシュ値とか言います。

3.taroさんは、うるおぼえなパスワードでログインを試みます。
ユーザー名:taro
パスワード:hage(正しくはhoge)

4.SNSサービス「mixo」は("hage") を一方通行変換→ f39ec629f4a1b04dd16e543e22e8d630
変換結果が2.の"ea703e7aa1efda0064eaa507d9e8ab7e"と一致しないのでログイン失敗

5.taroさんは、パスワードを思い出せないのでmixoにメールで送ってほしいと頼みました。
しかし「mixo」もtaroさんの正解パスワードを知りません。
「mixo」が知っているのは"ea703e7aa1efda0064eaa507d9e8ab7e"だけですから。

6.もはや忘れたパスワード「hoge」は誰も知り得ないので違うパスワードで再登録しました。

【mixo手抜き編】
1.SNSサービス「mixo」にユーザー登録してみましょう。
ユーザー名:taro
パスワード:hoge

2.SNSサービス「mixo」は、ユーザとパスワードを保存しました。
ユーザー名:taro
パスワード:hoge

3.taroさんは、パスワードを忘れたのでmixoにメールで送ってほしいと頼みました。
「mixo」はtaroさんのパスワード「hoge」をメールで送信してあげました。

さて、個人のパスワードが漏洩してしまう問題。
【mixoしっかり編】にくらべて【mixo手抜き編】はユーザにとって便利なのですが、いったいどこがまずいのでしょうか。

今やYahooやGoogle、mixi、facebook、flickr、、、ありとあらゆるサービスがありますが、いちいち別のID/PWなんて覚えてられないから、あるていど同じIDとPWで済ませてませんか?そうすると、ひとつのサービスからID/PWが流出すると、あっというまに他のサービスものっとられちゃいますよね。


で、パスワードを忘れたからといって、メールでお知らせなんてしてくれちゃったら、インターネットに流出しほうだいです。

または、mixo内に保存している顧客のID/PWがなんらかのミスで流出してしまう可能性もあります。

だからサービスを提供する側は、絶対に顧客のID/PWを保存してはダメ。流出したときの社会的信用の失墜は大きなダメージです。
上述のように変換して保存するべきなんです。

0 件のコメント: