サイト製作時のお約束として、ユーザーから預かったパスワードは暗号化して保存するというのがあります。
暗号化にもいろいろありますが、ハッシュ化といわれる、復号できない方法が用いられます。(以下、安全に暗号化する/されたという表現を用います)
そのため、一般的に、(お約束を守ったサイトであれば)サイト製作者や運営者の全員が、ユーザーのパスワードを入手することはできません。
つまり「パスワード忘れたから、何だったか教えて」と言ったとしても、誰も答えられないのです。
では、お約束を守っていない、お行儀の悪い、サイトの見分け方はあるのでしょうか?
完全ではありませんが、推測することは可能です。
安全に暗号化されていないサイトは、次のことで分かります
- 問い合わせ時などに、あなたの入力したパスワードがメールで送られてくる
- あなたの入力したパスワードをサイトの画面上で確認できる
上述の通り、ハッシュ化されていれば元のパスワードを知ることはできません。
それは人を介さずとも同じことです。
メールや画面上で入力したパスワードが分かるということは、何らかの方法でパスワードを入手可能ということです。
ということは。
パスワードが漏洩するリスクを抱えているということに他なりません。
上記に当てはまらないからといって、安全に暗号化されているとは限りません。
(ひとつの指針とはなります)
最終的には自己防衛するしかありません。
自己防衛の方法は昨日の記事で。
※ハッシュ化は必ずしも復号や解除できないものばかりではありません。しかし、一般的に不可能と言えるほど復号に時間を要する「安全に設計されている」ハッシュ化は、「復号できない」ハッシュ化と表現されます。
※また上記がそのまま「暗号化してない」とは言えないケースがあります。復号可能な暗号化を採用している場合です。しかしシステム的に復号可能な場合はハッシュ化せずに保存していることと大差ないため今回は記述していません。
※また上記がそのまま「暗号化してない」とは言えないケースがあります。復号可能な暗号化を採用している場合です。しかしシステム的に復号可能な場合はハッシュ化せずに保存していることと大差ないため今回は記述していません。
