2019年01月27日

パスワードリマインダーでパスワードそのものをメールで送ってくるサイト 2019年版 このエントリーをはてなブックマークに追加

2019年1月22日に宅ふぁいる便が不正アクセスにより約480万件の個人情報が漏洩したと報告があった。
「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について(お詫びとお願い)
1.漏洩したお客さま情報
(1)内容
・「宅ふぁいる便」のお客さま情報
・メールアドレス、ログインパスワード、生年月日、氏名、性別、業種・職種、居住地(都道府県のみ)
(2)件数
 約480万件
この中にログインパスワードが漏洩したとあるが、そもそもログインパスワードが漏洩するということはパスワードリマインダが駄目な理由 | 徳丸浩の日記にもあるように
現在のパスワードをメール送信できるということは、パスワードをハッシュ値で保存していない証拠である
つまり、パスワードを平文で保存していた可能性があるということになる。

徳丸さんのこの記事は2013年に記載されたものだが、そもそも2019年の現在、パスワードをハッシュ値で保存していなさそうなサイトはどのくらいあるだろう?
気になって調べてみた。要は「パスワードリマインダーでパスワードそのものをメールで送ってくるサイト」がどのくらいありそうかってことですな。

で、それが以下のよーな感じ。ざっと調べてみたけど、意外と少ない感じ。これは、「パスワードを平文保存しちゃダメですよー」ってのが結構浸透しとるからかもしれんなー。
いいことですばい。
posted by りょーち | Comment(0) | セキュリティ