\r\n\r\n
お客様がWebサイトに登録される場合、お客様はそのWebサイトを信頼し、個人情報を預けることになります。彼らは、少なくともあなたの電子メールアドレス、おそらくそれ以上、もちろんパスワードも含めて、アクセスすることができます。
しかし、ウェブサイトが個人情報を大切にしているかどうかは、どのように見分ければよいのでしょうか。Webサイトがアカウント情報を平文で保存すると、なぜ問題が発生するのでしょうか?どうすればいいのでしょうか?
平文とは、その名の通り、あなたがメモしたとおりのパスワードが保存されることです。
あなたが利用しているWebサイトがハッキングされたとします。ハッカーは、パスワードが記録されたアカウントのリストにアクセスすることができます。例えば、あなたのパスワードが「Pa$$w0rd」であるとします(そうでないことを切に願います)。サイバー犯罪者はリストをスキャンし、あなたの電子メールアドレスを見つけ、あなたの「安全な」ログイン名が「Pa$$w0rd」であることを簡単に読み取ることができます。
最大の問題は、パスワードがどんなにわかりにくくても問題ないことです。なぜなら、あなたのアカウントにアクセスできる人なら、あなたがこの記事を読むのと同じように簡単に読むことができるからです。
多くのプラットフォームで同じパスワードを使用している場合は、さらに心配です。すべてのセキュリティ専門家と同様に、MakeUseOfはこのような理由から、パスワードの使用を避けるようアドバイスしています。とはいえ、覚えやすいパスワードにこだわりたくなる気持ちはよくわかります。
しかし、そうすると、ハッカーが漏洩した平文リソースを使って、オンライン銀行口座やFacebookなど、あなたがパスワードをコピーしているあらゆるものにアクセスする危険性があります。
ECサイトの3割がパスワードを平文で保存していると言われており、簡単に無視できるものではありません。
それは、独立した小さなウェブサイトに限ったことではありません。NHL、Match.comウェブサイト、LinkedIn、National Trust、Vodafoneなど、多くの大企業が摘発されています。幸いなことに、より安全な保存方法が実装されている。
パスワードの保存方法には、実はいくつかの選択肢がありますが、そのすべてが最初に言われたほど安全とは限りません。
多くのウェブサイトでは、パスワードを別の数値に変換するハッシュ関数が使用されています。ハッカーに侵入されても、このランダムな文字しか見えない。しかし、これはパスワードを入力するたびに同じハッシュを生成するため、欠陥のあるアルゴリズムです。そして、これらの番号が互いに関連付けられ、お客様のアカウントにアクセスできるようになります。
はい、特にブルートフォースアタックによってクラックされる可能性があります。
しかし、eコマースサイトを運営する場合は、塩漬けハッシュに切り替える必要があります。同じ原理で、ハッシュアルゴリズムに入る前に、パスワードの末尾に追加の数字が必要です。
スローハッシュはさらに優れており、ハッカーが1秒間にデータセットを攻撃できる回数を制限することができます。パスワードを解読するのに時間がかかると分かれば、犯罪者はアカウントをロックする可能性が低くなります。
当該企業に勤めている人でなければ、なかなかわからない。その場合、個人データを平文で保存することは倫理的に問題があることを技術チームに思い出させる必要があります。
しかし、参考にできる指標はあります。アカウントを作成すると、ウェブサイトからパスワードが記載された電子メールが送信されますが、このパスワードは平文で保存されている可能性が高いです。
もし、「パスワードを忘れた場合」をクリックして、メールで送られてきた場合は、間違いなく安全ではありません。暗号化されていれば、そんなことはできない。その代わり、自分のアカウントであることを確認した上で、パスワードを完全にリセットする必要があります。
電子メールはどう考えても安全とは言えません。簡単にハッキングされる。ウェブサイトがお客様の情報をプレーンテキストで保存していない場合でも、詳細を送信することは安全ではありません。
オンライン上での行動を完全に把握したい場合は、オンラインショップで登録する際にプレースホルダパスワードを使用してください。その後、「Lost my password」(またはそのバリエーション)をクリックし、メールを確認してください。リセットするしかないのであれば、そうしてください。
その他、受信トレイにプレースホルダパスワードがはっきりと表示されている場合は、心配なサインです。
また、セキュリティに十分配慮していない企業を取り上げる専門サイト「Explicit Criminals」もご覧ください。
ウェブサイトがパスワードを平文で保存していると思われる場合は、電子メールで問題の解決を依頼してください。
その場合、暗号化によりお客様の情報を保護していることを確認することができます。しかし、これで気を落とさないでください。暗号はバカのためにあるという神話を信じないでください。
そうでなければ、損害賠償の制限について話をする必要があります。全てに同じバウチャーを使わないでください。誘惑に駆られるのはわかりますし、実害がないと思うかもしれません。しかし、あなたは間違っている。過去に利用した会社のどれかがハッキングされたのでは?MySpace、Tumblr、Dropbox......あるいはたくさんのサイトが考えられます。
承認されました」と入力して、メールアドレスを確認する。
パスワードマネージャーを使えば、情報を覚えることなく、安全に管理することができます。マネージャーへのアクセスには安全なパスワードを使用でき、残りのパスワードはマネージャーが知っています。
しかし、平文を使用するWebサイトに対しては役に立ちません。Managerはお客様のセキュリティのためのストレージシステムであり、ウェブサイトではありません。あなたの個人情報は、誰かがあなたのアカウントにアクセスした場合でも読み取ることができます。
とはいえ、個人情報を自分で管理することに興味があるのは明らかですから、パスワードマネージャーを使うのは確かに得策です。
平文とは、あなたが書いたとおりのパスワードが保存されていることを意味します。これは、ハッカーが簡単に読み取ることができるため、問題視されています。クレデンシャルダンプと自分を守る方法を必ず熟読してください。
ウェブサイトへの登録後、受信する歓迎メールにパスワードが含まれていてはいけません。パスワードをお忘れの方」をクリックすると、実際のパスワードがメールで送られてきますが、これは個人情報が安全でない状態で保管されている証拠です。
サイトが安全でないことが心配ですか?メールで悩みを打ち明けてください。暗号化されていると断言されても、解読できないものはないのです。そうでない場合は、評判の良いサイトがどのようにパスワードを保存すべきかを調べ、教えてあげてください。