sorarix.net

日記、コンピュータ、備忘録、書きたいことを書きたいままに。気まぐれに更新中。

お名前ドットコムはパスワードを平文で送ってくる

格安レジストラとして有名な「お名前.com」はログインパスワードを平文で管理しているようです。

なぜかと言えば、先日、うっかり「お名前.com」のログインパスワードがわからなくなってしまい、パスワードの再発行処理を行いました。登録しているメールアドレスを入力すると何かを聞かれるわけでもなく「パスワードを送信しました」と表示されます。

私はてっきりワンタイムパスワード(一度使ったら使えなくなるパスワード)が送信されてくるのかと思っていたら、登録しているIDとパスワードが平文で送信されてきました。

パスワードは平文では保存せず、一方向ハッシュでハッシュ化されたデータを保持・認証で使用するものだと思っていたのですが、これだけ大規模なサイトで未だにこんな旧時代的なパスワードの管理がなされていることに強い疑問を感じました。

もちろん、これ自体が危険というわけではないのですが、何らかの攻撃・不祥事が発生したとき、大量の平文パスワードが流出してしまうことになるのではないでしょうか。

お名前.com ユーザは お名前.comだけ、特別なパスワードに変更する余地があるでしょう。