忘れたパスワードを問い合わせられるシステムを作ってはいけない

2011.12.06

IT・WEB

忘れたパスワードを問い合わせられるシステムを作ってはいけない

安田 英久
株式会社インプレスビジネスメディア Web担当者Forum編集長

今日は、ちょっとしたシステム構築を発注するときに重要なポイントとなる、顧客情報管理の話題を。テーマは「お客さんのパスワードをどう保存するか」です。

御社には、たとえばECサイトの会員や顧客向けSNSなどの、お客さんがユーザー登録をしてパスワードでログインするようなシステムがありますか?

あるとしたら、そのシステム内で、お客さんそれぞれのパスワードはどんな風に管理されているか把握していますか? または、システム構築の発注時に、どんな風にパスワードを管理するような仕様にしましたか?

クレジットカード情報や個人情報の管理には注意していても、パスワードの保存方法は、あまり気にしていないのではないでしょうか。しかし、それではまずいのです。システム構築時に正しい仕様で発注しないと、何かセキュリティ問題が発生したときに、思いがけぬ大きな範囲に影響する問題になってしまいかねないのです。

結論からいうと、お客さんが指定したパスワードをそのままデータベースに保存するようなシステムは、間違っても作ってはいけません

「それではログインできないじゃないか」と思うかもしれませんが、大丈夫です。少し技術的なのでシステム会社に一任したくなるような話ですが、ひとつ間違えるとビジネス側のWeb担当者さんの首を絞めることになる大切な話ですので、解説しておきましょう。

先日、某大手出版社のパスポートシステムのログイン用のパスワードがわからなくなったのですが、「パスワードを忘れた」リンクを利用すると、アカウント作成時に指定していたパスワードがメールで送られてきました

パスワードがメールで送られてくるということは、以前に指定したパスワードそのものがデータベースに保存されているということです。問い合わせれば、以前に指定したパスワードを教えてもらえるのは良いことのように思われるかもしれませんが、これは大きな問題なのです。

何が問題かというと、万が一、悪意のある第三者が御社のシステムに侵入してデータベース内の情報を盗んでしまった場合に、被害の範囲があなたのサイト内では収まらなくなってしまう可能性があるのです。

生パスワードがデータベースにそのまま保存されているということは、情報漏洩があった場合にパスワードまで漏洩してしまうことを意味します。昨今では、ユーザーはさまざまなサービスを利用していて、同じメールアドレスとパスワードの組み合わせを複数のサービスで使っているユーザーもいますよね。ということは、御社のシステムから漏洩したメールアドレスとパスワードの組み合わせで、Gmailなどのメールシステムや、Amazonなどのショッピングサービスにログインできる可能性があるのです。

Ads by Google

この記事が気に入ったらいいね!しよう
INSIGHT NOW!の最新記事をお届けします

安田 英久

株式会社インプレスビジネスメディア Web担当者Forum編集長

企業のウェブサイト活用やウェブマーケティングに関するメディア「Web担当者Forum」(http://web-tan.forum.impressrd.jp/)を運営しています。

フォロー フォローして安田 英久の新着記事を受け取る

一歩先を行く最新ビジネス記事を受け取る

ログイン

この機能をご利用いただくにはログインが必要です。

ご登録いただいたメールアドレス、パスワードを入力してログインしてください。

パスワードをお忘れの方

フェイスブックのアカウントでもログインできます。

INSIGHT NOW!のご利用規約プライバシーポリシーーが適用されます。
INSIGHT NOW!が無断でタイムラインに投稿することはありません。