【IT論考β】 本パスワードをメールで送ってくるサイトには要注意。[#184]

IT

■ 久しぶりにセキュリティネタです。

  先日、総務省が

  「ウェブサービスに関するID・
    パスワードの管理・運用実態調査」

  なるものを行ったようです。
  
  
  結果を見てみるとセキュリティレベルの低い
  サイトが相当数存在する模様です。
  
  とくに有料サービスを提供していない、
  無料会員登録のサイトのセキュリティレベルは
  低いようです。
  

  個人情報を抜きたいがために会員登録を
  させておきながら、

  セキュリティへまともに投資できないような企業には
  市場からご退場願いたいところ。
  
  
  筆者の感覚として私見を述べれば
  
   超大手外資と金融系を除けば、

   国内企業を含むほぼすべてのWebサービスの
   セキュリティは信用しない
   
  ぐらいが丁度良いかもしれません。
  
  
  中にはちゃんとセキュリティを担保している
  ところもあるでしょうが、
  
  それを判別する方法がない以上は厳しめに
  判断するしかありません。
  
  
■ ときどき、本パスワード(≠仮パスワード)を
  メールで送付してくる事業者がありますが、
  
  このような仕組みをとる事業者の姿勢は
  いかがなものか?と思います。
  
  
  メールは秘匿性が高くないので、
  パスワードのような情報を交換するのには
  向きません。
  
  それゆえ、パスワード通知に使う場合には
  あくまで仮パスワードやワンタイムパスワード
  にするべきなのです。
  
  
  そもそも、事業者はパスワードを「ハッシュ化」
  という処理を施して保存すべきで、
  
  この場合は原理的に事業者側から本パスワードを
  通知することは不可能なはずなのです。
  
  
  したがって、パスワードが不明なときに、
  「パスワードリセット」ではなく「パスワード照会」
  が出来る事業者も要注意ということになります。
  
  
  
■ このあたりを踏まえてWebサービスを利用していると
  ちょくちょくアウトなサービスに出会います。
  
  そのようなサービスには重要な情報は渡さぬよう
  お気をつけ下さいまし。
  
  
 今日の【まとめ】
 ■ 無料会員登録サイトのセキュリティレベルは低め
 ■ 本パスワードをメール通知してくる事業者は要注意
 ■ パスワードが照会(復元)できるケースも超注意

タイトルとURLをコピーしました