nakagamiの日記: パスワードのしまい方 1
日記 by
nakagami
開発しているでもなく、使っているでもない、
なんとなく概要だけ聞いていたとあるシステムの話。
ユーザーIDとパスワードを RDBにしまってあるのだけれど、
なんとパスワードをそのまま*平文*でしまってあることを最近知った。
構成から考えて、パスワードを平文でしまっておいて、後で交換した鍵を
含めて暗号化する必要があるわけではないことは確か。
阿呆か!
しかも、パスワードを忘れたユーザーに教えてあげられるように、
管理者用の画面からは、*そのパスワードが見れる*らしい。
セキュリティはともかくとして、
「Sachiko my love」などと入れている私のパスワードが見られたら
恥ずかしいじゃないか。(パスワードはフィクションです)
こんな阿呆なことやっているのは、こいつらだけだろう・・・と
いいたいところだが、実は、別のところで データの中身を見ると
(処理プログラムは一切見ていない)
見るからに、こいつがパスワードだろうというフィールドに、
明らかに「16進変換しただけだろう」という値が入っていた
(長さがまちまちで、0~Fの文字だけが入っている)
別物を見たことがある。
おいおい、世の中には 16進のコードを見ただけで ASCII文字列に
変換できるおじさんが山ほどいるんだよ。
作る側は、あいも変わらずこんな素人くさいことをしているのに、
(もちろん、ちゃんとしている人はちゃんとしている)
クラックする側は、どんどん高度化して行く。
そりゃ事件も起きるよなぁ
困るのは (スコア:1)
システムの利用にメールを義務付けて、すべてのパスワードをユーザーが
自分宛てに送信できる(それだってけっこうアレだけど)とか、そういう
仕組みにしていないと「すいません、パスワード忘れたんで教えてください」
に対応できないわけで。
運用上の理由でそうなっているとか、ないですか?
# 自分の身近にあるのは絶対内緒です