信じがたいことですが、いまだ世の中にはパスワードを平文でユーザーに送付するサイトが多数存在するようです。
100件達成! やったね! パスワードを平文で送ってくるっぽいサイトまとめ https://t.co/8MfOmruhjN
— JZ5 (@jz5) 2015, 3月 2
IT業界に身を置いたことがある人間からすると考えられない実装だと思いますが、どうしてこんなサイトが多数存在するのでしょうか。そこには、必然性があるのでしょうか。
まず考えられるのが、Web サイトを構築する側のセキュリティ知識不足があると思います。
IPA が「安全なウェブサイトの作り方」を公開したのが2006年1月ですから、9年も前の事になるのですが、いまだ安全な Web サイトの作り方が浸透していないようですね。
最近、SQLインジェクションの脆弱性は開発会社の責任となる判決がありましたが、SQLインジェクションの脆弱性対策すら満足にできていない開発会社が多く存在すること意味するのだと思います。
これは、ユーザー企業が安いという理由だけでなく、セキュリティ対策をしてくれる開発企業を選択するということと、契約でセキュリティ対策を開発企業に求めることが近道でしょう。
一方で、ユーザーの IT リテラシーの低さも問題だと思っています。
パスワードを忘れてしまうのは人間だから仕方ないにしても、パスワードそのものを受け取らないと、ログインできないユーザーが一定数存在するのは想像に難くないです。ユーザーにパスワードリセットのリンクを送付しても、何をしたらよいのか分からないユーザーは多いでしょう。
問題はこちらの方が根が深く、IT リテラシーを年配の方に求めるというのは現実的ではありません。サービスがターゲットとする年齢層が高ければ高いほど、セキュリティ上問題があっても、パスワードを平文で送付している可能性は否定できません。
考えられる対策は、高齢者をターゲットにする場合でも、パスワードを平文で送るのはやめてパスワードリセットのリンクを送付して、メールもしくは電話でのサポートを用意するしか方法はなさそうです。コストはかかりますが、セキュリティ意識の低い企業というレッテルを貼られ、信用を落とすよりはましかと思います。
セキュリティ対策は、サービス提供側とユーザー側の双方で行っていく必要があります。セキュリティ対策が進み、安心してサービスを利用できるようになることを期待したいです。
ところで、冒頭のサイトは名誉毀損とかの問題は大丈夫なのでしょうか?
ちょっと心配です。
コメント