■ 久しぶりにセキュリティネタです。
先日、総務省が
「ウェブサービスに関するID・
パスワードの管理・運用実態調査」
なるものを行ったようです。
結果を見てみるとセキュリティレベルの低い
サイトが相当数存在する模様です。
とくに有料サービスを提供していない、
無料会員登録のサイトのセキュリティレベルは
低いようです。
個人情報を抜きたいがために会員登録を
させておきながら、
セキュリティへまともに投資できないような企業には
市場からご退場願いたいところ。
筆者の感覚として私見を述べれば
超大手外資と金融系を除けば、
国内企業を含むほぼすべてのWebサービスの
セキュリティは信用しない
ぐらいが丁度良いかもしれません。
中にはちゃんとセキュリティを担保している
ところもあるでしょうが、
それを判別する方法がない以上は厳しめに
判断するしかありません。
■ ときどき、本パスワード(≠仮パスワード)を
メールで送付してくる事業者がありますが、
このような仕組みをとる事業者の姿勢は
いかがなものか?と思います。
メールは秘匿性が高くないので、
パスワードのような情報を交換するのには
向きません。
それゆえ、パスワード通知に使う場合には
あくまで仮パスワードやワンタイムパスワード
にするべきなのです。
そもそも、事業者はパスワードを「ハッシュ化」
という処理を施して保存すべきで、
この場合は原理的に事業者側から本パスワードを
通知することは不可能なはずなのです。
したがって、パスワードが不明なときに、
「パスワードリセット」ではなく「パスワード照会」
が出来る事業者も要注意ということになります。
■ このあたりを踏まえてWebサービスを利用していると
ちょくちょくアウトなサービスに出会います。
そのようなサービスには重要な情報は渡さぬよう
お気をつけ下さいまし。
今日の【まとめ】
■ 無料会員登録サイトのセキュリティレベルは低め
■ 本パスワードをメール通知してくる事業者は要注意
■ パスワードが照会(復元)できるケースも超注意