【これは約 3 分の記事です】
この投稿は2016年1月31日に行っていますが、後述するようなサイトが少なくなることを願っています。
ユーザー登録が必要なサイトがある時、最近はTwitter認証かFacebook認証を使うことが多いのですが、どちらも使えない、もしくは使わないほうが良さそうと直感した時、ログイン頻度の低いサイトへのアカウント登録の場合には、私はデタラメのパスワードを入力します。
でたらめなのでパスワードを覚えません。
「次にログインする時どうするの?」
「パスワードを忘れた場合」を使います。
パスワードをわすれた時、そのサイトに登録しているメールアドレス宛に、パスワードをリセットするための方法を書いたメールが届きます。
それを実行することになりますが、この仕組は実質的にコールバック認証になります。なので、セキュリティが高くなります。
私の場合には、アカウント登録専用のメールアドレスを持っていて、そこにパスワードを忘れた場合のメールが届くようにしています。
この「パスワードを忘れた場合」ですが、この取扱で、そのサイトのセキュリティ意識の高さが推測できます。
残念なことに、パスワードを平文メールで送ってくるサイトも存在します。例えばこちらのサイトです。よくお使いになる方もいらっしゃると思います。(この投稿を書いている時点です)
私も使うことがあるので、もちろんパスワードはでたらめで、新規ログイン時にはパスワードをリセットするようにしています。
パスワードを平文で送る、ということは、パスワードをハッシュ化して管理していないということです。私が「パスワードの定期更新の危険性」について書いた時、「パスワードはハッシュ化してDB管理されているので問題がない」という反論がありましたが、現実ハッシュ化されずに管理されている場合も少なくありません。
防災SNSアドバイザー。情報処理安全確保支援士第5338号。ネットワークスペシャリスト。ITコーディネータ
東北大学大学情報科学研究科第2期生。1994年からインターネットに携わる。システムベンダーの総務社内SEとして、社内システムの構築運用やBCP策定、従業員教育に関与。2015年情報セキュリティ専門法人「まるおかディジタル株式会社」を福井県坂井市丸岡町に設立し現在に至る。研修では基本的に防災のお話以外では着物でお話させていただいております。
情報セキュリティ・IT関連資格取得・企業防災(BCP)の組織内教育・コンサルティング・支援・取材のお問い合わせなどございましたら、こちらからご連絡ください。
メール・お電話・FAX・Facebook
https://www.maruoka-digital.jp/contact/form/