忘れたパスワードを問い合わせられるシステムを作ってはいけない/安田 英久
今日は、ちょっとしたシステム構築を発注するときに重要なポイントとなる、顧客情報管理の話題を。テーマは「お客さんのパスワードをどう保存するか」です。
御社には、たとえばECサイトの会員や顧客向けSNSなどの、お客さんがユーザー登録をしてパスワードでログインするようなシステムがありますか?
あるとしたら、そのシステム内で、お客さんそれぞれのパスワードはどんな風に管理されているか把握していますか? または、システム構築の発注時に、どんな風にパスワードを管理するような仕様にしましたか?
クレジットカード情報や個人情報の管理には注意していても、パスワードの保存方法は、あまり気にしていないのではないでしょうか。しかし、それではまずいのです。システム構築時に正しい仕様で発注しないと、何かセキュリティ問題が発生したときに、思いがけぬ大きな範囲に影響する問題になってしまいかねないのです。
結論からいうと、お客さんが指定したパスワードをそのままデータベースに保存するようなシステムは、間違っても作ってはいけません。
「それではログインできないじゃないか」と思うかもしれませんが、大丈夫です。少し技術的なのでシステム会社に一任したくなるような話ですが、ひとつ間違えるとビジネス側のWeb担当者さんの首を絞めることになる大切な話ですので、解説しておきましょう。
先日、某大手出版社のパスポートシステムのログイン用のパスワードがわからなくなったのですが、「パスワードを忘れた」リンクを利用すると、アカウント作成時に指定していたパスワードがメールで送られてきました。
パスワードがメールで送られてくるということは、以前に指定したパスワードそのものがデータベースに保存されているということです。問い合わせれば、以前に指定したパスワードを教えてもらえるのは良いことのように思われるかもしれませんが、これは大きな問題なのです。
続きはこちら
御社には、たとえばECサイトの会員や顧客向けSNSなどの、お客さんがユーザー登録をしてパスワードでログインするようなシステムがありますか?
あるとしたら、そのシステム内で、お客さんそれぞれのパスワードはどんな風に管理されているか把握していますか? または、システム構築の発注時に、どんな風にパスワードを管理するような仕様にしましたか?
結論からいうと、お客さんが指定したパスワードをそのままデータベースに保存するようなシステムは、間違っても作ってはいけません。
「それではログインできないじゃないか」と思うかもしれませんが、大丈夫です。少し技術的なのでシステム会社に一任したくなるような話ですが、ひとつ間違えるとビジネス側のWeb担当者さんの首を絞めることになる大切な話ですので、解説しておきましょう。
先日、某大手出版社のパスポートシステムのログイン用のパスワードがわからなくなったのですが、「パスワードを忘れた」リンクを利用すると、アカウント作成時に指定していたパスワードがメールで送られてきました。
パスワードがメールで送られてくるということは、以前に指定したパスワードそのものがデータベースに保存されているということです。問い合わせれば、以前に指定したパスワードを教えてもらえるのは良いことのように思われるかもしれませんが、これは大きな問題なのです。
続きはこちら
