NHKのニュースウォッチ9で報道されたパスワード使い回し問題に見るWeb制作の鉄則とはー「悪魔の証明」に気をつけろ
2月2日、NHKの帯番組、ニュースウォッチ9でパスワード使い回し問題が取り上げられていました。
要約すると、パスワードを見破られにくい形にしないとならないのですが、自分のではなくパートナーの誕生日を使う、パスワードを使い回している、といった問題です。
まずはパスワードが簡単問題。
そして使い回し問題。相変わらず半分近いユーザーが使い回してます。
このNHKのニュース9の報道は、Web制作・システム開発におけるパスワードの扱いについて、あるべき姿を実は強く示唆しています。
どういう事かと言いますと、弊社では以前からお客様にご提案しているのですが、会員登録制のWebサイト制作・システム開発においては、パスワードは絶対にユーザーに任意で入力させてはいけない、ということです。必ずシステムで動的に生成する事を強く推奨しています。
なぜならユーザーに任意のパスワードを入力させてしまうと、必ずパスワードを使い回しする人が出てくるからです。これによってどういう問題が起こるかというと、どこかの会員制Webサイトで万が一会員情報が漏洩した場合、巻き添えをくってしまう、という事です。
勘違いしたユーザーが「御社のサイトからパスワード漏洩したんじゃ無いのか」と問い合わせされた時、「パスワードが漏れてない」という事を証明するのは「悪魔の証明」です。やっていない事を証明するのは至難の業です。
しかもこの場合、他社がパスワードを含む個人情報を漏洩したことを、正直にアナウンスすればいいですが、もしだまでやられてしまうと、もうどうしようもありません。
なので、弊社では、サイト運営者たるお客様を守るためにも、パスワードはユーザーに自分で作らせない、という事を強く推奨しています。勿論サイト運営者のお客様によってはそれぞれ事情はありますので全てのサイトでそうしているわけではないのですが、弊社ではそのような見解でお客様に推奨しています。
なので、もし貴方がシステム開発会社にWebサイト制作を依頼する場合は、パスワードの扱いについて「パスワードはどうやって発行するのでしょうか?」と訪ねましょう。もしシステム会社が「パスワードはここでユーザーに自分で入力して貰います」と言ったら断固として断っ下さい。「パスワードを使い回されるリスクがあるので、必ずシステムで動的に発行してくれますか」と答えましょう。
画像引用元:NHKニュースウオッチ9