ここで挙げるサイトがすぐに危険だというわけではありません。しかし万が一このサイトに不正アクセスを許すような脆弱性があったりして、仮にユーザー情報が流出した場合、パスワードが流出する可能性が非常に高い設計(ただし暗号化はされている可能性はある)になっているサイトの一例です。

参照)まともなシステムはパスワードを預かったりしない - BitArts

クーザのチケットを予約しようと、フジテレビ・ダイレクトというサイトに登録したところ、こんなメールが来た。

20110509_1.png

自分が登録したパスワードが書かれている。もし他のサイトでもこんなメールが届くことがあったら疑いの目で見ましょう。ハッシュ化する前に送っているのかもしれませんが、ハッシュ化していないのかもしれません

サイトのログインページ付近に「パスワードを忘れた方はこちら」みたいなリンクがあれば見てみましょう。

案の定、こんなページが。

20110509_2.png

「パスワードをメールで送信する」とあります。パスワードがハッシュ化されていればそんなことは不可能なので、このサイトではパスワードをハッシュ化せず、パスワードそのものを平文または復号可能な暗号で保持していると推測できます。

正しくハッシュ化しているサイトであれば「パスワード再設定の手順をメールでお知らせ」とかになるはず。

登録する前にこれを確認するべきでした。

このようなサイトは少なくないと思います。できるだけユーザー登録しないように気をつけたい。

コメント

2011/5/31 05:34 from 美少女まさや

ほとんど$(mkpasswd)を平文のメールに埋め込むだけって気がするけど、毎回違ったパスワードをメールしてくるサイトもアルよ。

メールだと、「平文だから覗き魔な管理者がいると(中継中やスプールにあるメールを)読まれてしまうかもしれない。」けど、(DNSが敗ジャックされていない限り)エンドポイントで(パスワードを知らないような)他の人が受けとることはまずない。

PS;何週間か前の朝日新聞に掲載されていたパスワードのアンケート結果は、笑えたよ。 だって「銀行のキャッシュカードに暗証番号を書いておく。」っていうインタビューがあったのですもの。