ブログ名の設定は、まだ。 ネット社会の一粒の"地の塩"でありたいと思っています。

「添付したPDFのパスワードはあなたのアカウントのパスワードです」という、微妙な話。

2014年07月24日 · カテゴリ:Webサービス関係

3年ちかく前(2011年10月)に、多々ユーザーID、パスワードを使うサイトの話として、パスワードをそのままデータベースに保存しているサイトについて書きました。

パスワードを生のままDBに格納しているサイトは、まだ相当多いはず。(2011.10.20)

過去の記事を参照していただくのも面倒でしょうから概略を書くと・・・
パスワードをハッシュ値にして格納すれば、ハッシュ値から元のパスワードは推測できないので、たとえそれ(ハッシュ値になったパスワード)が流出しても、不正ログインは防げるといった話。
それと、パスワードを忘れると、あなたの忘れたパスワードは「XXXXXXX」ですと返事が返ってくるリマインダーはパスワードをナマで保存していることがバレバレで、「新しく登録しなおしてください」と要求するサイトが当たり前になってきているというような話をダラダラと書いています。

で、最近はそんなリマインダーにはすっかり出くわさなかったのですが、今日久々に「ナマでパスワード保存してない?」という件がありました。
サイト名は出しませんが、某ストレージ屋さんにカードで支払を済ませたあと、領収書を要求したら・・・

ご要望いただきました領収書につきまして、添付ファイルの通り作成いたしましたのでご査収ください。
パスワードは、お客様の(利用しているWebサービスの)アカウントのパスワードです。

ん?
添付fファイルを保存して開いて見ると、PDFファイルを開くパスワードで、権限パスワードとか、添付ファイルを開くパスワードではありません。

pdfpassword

まあ、PDFの領収書など、別にパスワードを設定してくれてなくても良かったのですが、パスワードを設定して送ることが社内のセキュリティ方針なんでしょうね。
また、そのほうが顧客に「セキュリティがしっかりした会社だ」と好印象だと思うのでしょうね。

しかしこれって、領収書をPDFにする時、サポート担当者が顧客のデータベースを参照して、ナマの私のパスワードをコピペしてるってことですよね?
つまり、データベースにはハッシュ値ではなく、ナマのパスワードがあるってことですよね。

どうせやるなら最近多くみかける、1通目にダウンロード用URL(もしくは添付ファイル)を送信し、自動的に2通目で(自動生成された)パスワードを送信するようなシステムとかを使うべきでしょう。

・・・ということで、プライバシーマークも情報セキュリティマネジメント認証も取得済みの某ストレージサーバ屋さんですが、ちょいと心配になってしまいました。

PS.
まさか、PDFを開くパスワードを打ち込むと、打ち込むパスワードがハッシュ値になって、予めPDF生成時に設定されたハッシュ値と合っていたら開く、なんて機能ができたの?
そうなら私の誤解で某サーバ屋さんにとっては迷惑な話なんですけど、知ってる人がいたらご教示を。

« 1つ古い記事:

1つ新しい記事: »

Leave a Reply

Trackback URL

記事テーマと関係ないとか、リンクがない場合(一方的TB)、あとアダルトサイトは申し訳ないですが承認しませんので予めご了解ください。またrel="nofollow"つけてるので、SEOのリンクジュースが目的のコメント、TBは残念ながら効果が無いと思います。予めご承知おきください。