パスワード管理について、ちょい解説

Sonyの7700万アカウントのデータ漏洩が話題になってます。
これだけのデータ漏洩はぶちっぎり過去最高。
クレジットカード情報も漏れたというから大騒ぎ。

今日、副社長が会見を開いて、僕はその様子を見てた。
PS3持ってないし、PSネットワークも使ったこと無いけどね。

さて会見中、思わず「え!」と思う発言が。

 「パスワードは暗号化されていません」

ツイッター上も驚きの声が流れてた。
その後「ハッシュ化されています」ということで一安心。

ハッシュ化というのは、元の情報を別な情報に変換する方法。
ハッシュ化することで「元の情報を隠蔽」することができる。

「A」という情報をハッシュ化して「Z」にする。
そしてデータベースには「Z」を保存する。

「A」をハッシュ化すると常に「Z」という情報になる。
しかし「Z」という結果になるのは「A」だけではない。
「B」や「C」も「Z」という結果に可能性がある。

「A」も「B」も「C」もハッシュ化すると「Z」になる。

ということは「Z」という情報を得たとしても、
もとのパスワードが何かが推測できないということになる。

これがハッシュ化してデータベースに保存するわけ。

さて……
PSネットワークではパスワードはハッシュ化されている。
しかし、ハッシュ化されていないサイトはいっぱいある。
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄

参加しているサービスのメルマガに「パスワード」が書かれている。
これは「パスワードがハッシュ化されていない」ということ。

もちろん、ちゃんと暗号化されていれば大丈夫なんだろうけど。
暗号は常に破られる可能性がある。
だから可逆可能な暗号化で保存はしてほしくない。

ハッシュだとどんなに解読しようとしても答えはでない。

和佐さんのサクセスラボでも「パスワード」が記載された
メールが届く。
実はこれが一番危険。

通信の過程で盗み見される可能性があるし、
パソコンを盗まれたときはモロバレだし。

それとパスワードが保存されている場合、内部犯行によって盗み出されることが多い。
個人情報漏洩問題の多くは「外部からの不正アクセス」ではなくて、
「内部の人間による漏洩」が一番多い。
そういう意味でも暗号化されていてもパスワードは保存すべきではない。

もっともパスワードを盗まれたしても実害がない場合は多い。

クレジット情報が無ければ買い物もできない。
掲示板などに偽って書き込みとかされるぐらいかな。

ま、神経質になる必要はないかもしれない。

だーけーどー、同じパスワードを使っているときは注意。

例えば、某サービスのパスワードが盗まれてしまって、
それがAmazonとかのパスワードと一緒だったりするとー。
はーい、お買い上げー。ってなりますのでご注意を。