Main Contents
- « んむー。
- Main
- 何事もなかったかのように復帰 »
2009年09月16日
通販サイトのパスワード
個人的メモ
先日KVMスイッチを購入した COMPMOTO の通販サイト。
ログインに使うユーザーIDは自動的に割り当てられる、6桁の数字(登録数増えれば桁も増えるのかな)。
パスワードは英数字 4文字以上 8文字以内。イマドキの感覚からだと、ちと少ないかな。
ID・パスワードの再通知機能があり、登録メールアドレスと登録時に決めた合言葉(例: 恋人の名前は?)で、登録したメールアドレスに IDと 「平文のパスワード」を送ってくれます。
ってことは、間違いなく平文でパスワードを保存してくれてるってことだよね。
SQLインジェクションとかで中国人に丸ごとデータ抜かれるとか、顧客DBを委託先社員が持ち出すとか 「よくあること」 なんだから、万が一事が起こっても安全側に倒れるようなシステム設計が必要だよね。
あっちこっちで同じユーザー名パスワードの組使ってる人なんて相当いるんだろうし。
Comments
銀行のパスワードってほとんど数字4桁ですが、そろそろ英数字を使えるようにして欲しいなあ。覚えられなくなる人多発しちゃうから4桁数字なのかな。
静脈認証や指紋認証もあるけど、文字の方が安心しちゃうんだよね。
- Kuro
- 2009年09月20日 10:07
同意。パスワードを平文で返してくるサイトなんて怖くて使えません。
設計者がアホだとパスワードを暗号化して保存してるから大丈夫とか言ってたりね。可能な限りシステム内で平文パスワードを扱わない事が鉄則だと思う。さっさとハッシュ値にして平文は捨てよう。
でも、会社の給与明細管理システムがこれなのよね。