メールでパスワードを送ってきたらダメ。ゼッタイ。
何故、登録してるパスワードが送られてくるサイトはダメなのか。
会員登録の際に、ID、パスワードの情報はデーターベース(以下DB)に保存されます。
ログインする時は、このDBに保存された情報と一致するかで本人かどうかを判定しているのです。
では、会員登録の際のパスワードを“password”と仮定し、
この“password”という文字列がDBにそのまま保存されていたとします。
これを平文保存と言います。
平文で保存されていると、DBの管理者は皆のパスワードを覗くことができてしまう事になり、
DB管理者の気持ち次第で悪用が可能になります。
また、DBの情報が流出した際には会員のパスワードがバレてしまいます。
管理者もDBのパスワードは分からない
それでは、どうするのか。
会員登録時にDBに保存する際に、パスワードの文字列に対しあるロジックで暗号化します。
すると“password”が“dian30rifjapjtmgaga90up”のような人間が見ても何がなんだか分からない文字列になります。
しかも、このロジックは
password → dian30rifjapjtmgaga90up
のように暗号化出来るのですが、
dian30rifjapjtmgaga90up → password
のように復元は出来ないのです。すごいですね。
※何故、復元出来ないのかどうかは調べてください。。。
ログインのロジック
ちなみに、どうやってログインするかというと、
ログイン時に入力したパスワードも同じロジックで暗号化します。
そして、出来上がった暗号化された文字列と、
DBに登録されている暗号化された文字列同士が一致すればOKという流れです。
という事で、パスワードを忘れたからと言ってメールで送られてくるという事は、
DBに暗号化されずに保存されているという事なのです。
退会する前に
退会したからと言ってユーザー情報がDBから削除されるとは限らないので、
現在のパスワードを、password のような簡単なものに変更してから退会の手続きをしましょう。
少なくとも password や aaaa などのように他のサイトで使っていない捨てパスワードには変更しておきましょう。
※この記事は、このブログがアメブロで運営していた時の2011年11月の記事です。
さっき、気付いたのですが移行出来ていませんでした。
データが残ってたので、まじかJINS?!セキュリティコードの役割とは?に合わせて復活させました。
コメント