読者です 読者をやめる 読者になる 読者になる

ちょろげ日記

日々のちょろっとしたことを

あれから4年、そこにはいまだに生パスワードを平文メールで送る企業の姿が!

就活サイトにアカウントを作ったら自分が登録したパスワードが平文メールで送られてきたよ、という記事をみました。

実はこの記事は、2010年11月8日に書かれた記事で当時も話題になりました。

で、なぜか4年後の2014年10月22日頃からはてなブックマークがつきだしてにわかに話題に。オリンピック的な感じですね。

f:id:tyoro_ge:20141023181543j:plain

 
楠 正憲さんがはてブ&ツイートで「未だに…」という書き方をしたため、それ読んだ方が「今起きている事案」と爆速で誤解をしてしまったことが、盛り上がった一因かもしれません。

 

あれから4年……

以上、4年前のお話でした、というだけの内容なんですが、現在でも生パスワードをメールで送ってくる企業はあるのかな?と、ちょっと興味がわいたのでやんわりとTwitterを検索してみました。 

その中から仮パスワードではなく、自分が登録したパスワードが送られてきたとわかるケースを一部紹介します。

いずれも2014年のツイートですので、未だにそういった企業が残っていることがわかります。

ちなみに、企業名が明記してあるツイートもたくさんありましたが、事実かどうか全部検証するわけにもいかないのでここに記載するのはやめておきました……が、一応、2つだけ検証してみました。
 

イオン北海道ネットスーパーサイトの場合

 
本当でしょうか?登録して試してみました。

イオン北海道のネットスーパー ネットで楽宅便(らくたくびん)

f:id:tyoro_ge:20141023192743j:plain

「パスワード」を記載したメールを送信します、という丁寧な説明。

実際にリマインダーしてみると……
 

f:id:tyoro_ge:20141023204250j:plain

不意に、自分が登録したパスワードが平文メールで送られてきた時の衝撃はどれくらいなんでしょう。

たしかに、説明通り生パスワードが送られてきました。 
 
 

GAPメンバーシップサイトの場合

こちらは会員登録後に生パスワードをメールで送ってくれるサービスだそうです。さっそく登録してみます。

[GAP MEMBERSHIP]

f:id:tyoro_ge:20141023191340j:plain

登録が完了すると「なお、パスワードはログインIDとは別のメールにてお送りします。」という説明。どういうことでしょう?
 

f:id:tyoro_ge:20141023191348j:plain

 
あ、添付ファイルを暗号化して別メールでパスワード送る「パスワードは別のメールでお送りします」的なやつだ!  
 
パスワードはとういうと、  

f:id:tyoro_ge:20141023221558j:plain

しっかりとそのまま送られてきていました。
 

なぜなくならない?

予算などの都合で、4年前からシステムを代えられないという理由も大いにありそうですが、イオン北海道のネットスーパーが解説したのは2013年です。あえて生パスワードをメールで送る仕様にしているのかもしれません。

なぜなのか?その理由の一つとして、元記事が話題になった2010年に寄せられていたコメントを紹介します。

コメント#1856267 | 生パスワードを平文メールで送ってくる企業 | スラッシュドット・ジャパン

送信するのはクレーム避けだからです

・正確に入力したのにパスワードが通らない、おまえの所のシステムはおかしい

 パスワード決定時とCapsLockやNumLockの状態が違うなんてことが

・「パスワードを再発行しろ」、ハッシュ管理のため再発行できません、

 そんな馬鹿な話があるか、パスワードを確認できるんだから再発行できるだろう

クリティカルな物でも無い限りパスワードを平文保存なり送信なりしたくなる気持ちも分からなくも無い

 
いずれにせよ、こういった仕様がなくらないのであれば、漏れたら困るような主要なパスワードを使いまわさないように(そもそも使い回しはNGですが……)しないといけませんね。

そもそもこういった仕様がなんでいけないの?については徳丸先生の記事などをご覧になるとわかりやすいと思います。

パスワードリマインダが駄目な理由 | 徳丸浩の日記
 

まとめ

4年後に期待しましょう。