公的機関でこれありか?

某組織から連絡が来ました。内容はさておき、「ホームページからも確認いただけます」とある。その上で、「パスワードをお忘れの方、あなたのパスワードはこれです」と、なななんと。パスワードが表示されているではないですか・・・!
一瞬なにが起こっているのかわかりませんでした。

何がいけないか?

パスワードと言うものは、IDと離して保管しなければならない。両方一緒にあると、それがリークするだけでアウトになるから。

パスワードは、本人以外が見れてはいけない。そのため、保管も一方向関数でHashして、Hash値を比べるのが筋。多くの人がパスワードを同じもので管理している。場合によってはキャッシュカードなども。そのため、キャッシュカードを紛失して、お金を引き出されたとき、パスワードを平文で管理している人が犯人と疑われても、文句は言えない。

など。こんな常識を知らないのかなぁ。

もどる