【IT論考β】 パスワードは復元できたらダメ?[#334]

IT

■ 暗号化を行うソフトを使うと

  「パスワードを忘れた場合、
   復元することは出来ません」
   
  という注意書きがあることが多いです。
  
  
  パスワードなしで復元が出来たら
  暗号化の意味がないので当たり前
  なのですが、
  
  一方で
  「メーカなら特殊な方法で復元
   出来るのではないか?」
  と考える人もいるようです。
  
  (実際、そういう依頼がたまに
   あるのです…)
   
   
■ メーカがセキュリティを考えて
  ソフトを設計しているならば
  
  その注意書きはまったくその通り
  なのです。
  
  
  メーカといえどもパスワードを
  解読することは出来ませんし、
  
  マスターキーのようなものが
  存在するわけでもないのです。
  
  
  パスワードそれ自体も人間が入力
  した後はある種の暗号化が施され
  (ハッシュ化ということをします)
  
  元のパスワードが何であるかは
  わからなくなるのです。
  
  
  これは各種のログインパスワード
  においても同じことで
  
  管理者といえど他人のパスワードを
  知ることは出来ません。
  
  よって、パスワードを忘れた場合に
  出来るのはパスワードリセットという
  処理になるのです。
  
  (リセットした経験のある方は
   多いのではないでしょうか?)
   
   
  ごく希に、パスワードを照会すると
  メールで送ってくるWebサービスが
  ありますが、
  
  セキュリティの観点からいうと
  かなり危険であると言わざるを得ません。
  
  
■ 残念ながらサービスによって
  セキュリティレベルはまちまちです。
  
  それゆえに守りが緩いところから
  パスワードが流出することは十分に
  考えられるのです。
  
  
  その点を鑑みても、
  パスワードの使い回しが危険
  ということが言えるでしょうね。
  

 今日の【まとめ】
 ■ 本来はパスワードはユーザ以外は知り得ない
 ■ 管理者といえど他人のパスワードはわからない
 ■ 希にパスワード管理が甘いサービスがあるので注意
 

タイトルとURLをコピーしました