先日、今だに(2022年の暮れが近い時期に)これが普通なんだと驚いたのでメモで残す。
※:以下の記述は、誹謗中傷とかの意図は全く有りません。誤解されませんようにお願い致します。
知人から、ある医療系の全国組織(日本****会(医師会では有りませんが近い組織))の会員専用サイトで、パスワードが解らなくなったので何とかしてくれと頼まれました。又かよ!と文句を言いながら(10年近く前に同じ事を頼まれた)、サイトへアクセスして、パスワードの再発行の手続きを代行したのですが、”パスワードの再発行は後日郵送します” となり、すぐには出来ませんでした。
ここまでは、公共系とかで時々有るので、又かよ(実は、前回も郵送で届いた)と思いながら郵便が届いたら又連絡してで一旦戻しました(もう一回うまいタダ酒が飲める(高給取りが奢ってくれる店なので)と喜んだのは内緒)。驚いたのは、その郵便が届いたとの事で見せてもらったら、”登録して有ったパスワードが再発行パスワードとしてそのまま記載” されていた事です。てっきり、臨時パスワード(一時パスワード)が届き、それでログインしてパスワードを変更するのだと思っていたので。
前回の時も同じ対応だったのですが、その当時は、今ほどパスワードの管理を強く求められる風潮は無く、”まあこんなもんか。全く、何処の業者がやってんだ。リテラシーが低いな!”ぐらいにしか思いませんでした。しかし、今回は、このご時世にまだパスワードをハッシュ化せずに保持しているのか?とちょっとびっくりでした。医療系という個人情報に敏感で有るべき組織で・・・。
パスワードを忘れた人へ、元のパスワードを教える為に平文で保持しているのは良く有る事ですが、今時どうなんだろ?(今回の組織もそうなのかも?)。
私としては、シビアな情報を扱うサイトでID+パスワードでのユーザ管理は崩壊していると思っています。特に、ブルートフォース対策とか取られていない場合は(今回のサイトも対策はされていないと思われる応答だった)、危険だと思っています。顧客から要求されても、絶対にやらないんですが・・(もうそんな機会も無いけど)。
コメント