パスワードの暗号化は何故必要なのか1

NO IMAGE

暗号化は何故必要なのか?

残念ながら今の日本の大手企業でさえ理解してないです。日本はリテラシーが非常に低い国であり、最新技術を取り入れる企業が極端に少ないのも頷けます。

先日驚くことが起きました。おとなの自動車保険の更新ハガキが届いたのですが、「パスワードの一部が記載」されてポスト投函されていたのです。さっそく問い合わせしたところ驚くことにエンジニアからの回答は、

ご安心ください、パスワードは暗号化されており復号してハガキにパスワードを記載したとのこと。

私は非常に困惑しました、何故なら復号化できるので安心できるとは何を考えて言ってるのやら。悪意ある内部スタッフもしくは、情報流失した場合のリスクを全く考慮されてません。更にクレジットカード情報も記憶されているので、悪意あるスタッフがパスワードを復号し、好き勝手にログインを行い契約内容の変更をするのは非常に容易なことかと推測できます。更にデジタル証券の場合は紙の証券と違うので、細かな契約内容を覚えていなければ気づくことは難しいかもしれません。

ハッキリ言ってパスワードを復号できるアルゴリズムを使うということは、平分パスワードで保管しているとしか言えませんし、復号しなければならない事態は悪意がなければ発生しません。個人情報を扱っている企業であれば、、レインボーテーブル攻撃を考慮してソルト付きパスワードをハッシュ化(一方向、元のデータに復元できない)して保存されるべきです。まして、パスワードを復元してハガキに書いてポスト投函するなんて言語道断です。トラッシングの餌食です。

簡単に説明すると、パスワードを元のパスワードに変換し直すことができないデータに変換し保存することが最も重要であり、管理している側の常識であってほしいと思います。

 

続き

 

再度おとなの自動車保険のお客様サポートセンターから連絡が来ました。

非常に質の悪い品のない方で、全くのド素人で暗号化の意味も、パスワードをハッシュ化すること、言葉すら知らないようでした。プライバシーが漏れる懸念を示しているのに、何を話しても「はい」と二文字しか喋りません。相手の話を全く理解しようとも聞こうともしない様子でした。

しばらくしてから、今度はなんと話をしている最中に、受話器を置いて周りにいた女性と馬鹿でかい声で話し始めました。会話内容は私を侮辱する会話で盛り上がっているご様子です。

何を言っているのかサッパリ分からないよ、わはは(男性も女性も大爆笑です)、受話器から笑い声が響いてます、透かさずスピーカーホンにしてパソコンで録音開始です。

 

私はしばらく会話を聞いてましたが、男性はニコニコしながら女性との会話を終わらせる様子はなさそうです・・・ 流石に私は、あなたの会話聞こえてますよ、録音していますからね!と一言。男性は急いで録音ボタンを押して電話応答を・・・必死に冷静を装って、もしもし、もしもし。私は言いました、あなたの会話録音していますよ?、どうぞどうぞ人を小馬鹿にしながら女性と楽しく笑いながら会話を続けてください。男性は必死に言い訳を考えます、よほどしらを切りたかったご様子ですが、私は何度も録音されてますよと教えてあげました。よほど気まずいと思ったのか男性は意味不明に「はい」の言葉を繰り返すだけの状態でした。謝罪などありません。 

映像ならニュースとか衝撃映像になりそうな気もしますが、ここまでくると流石に怒りは通り越して笑えてきます。人と電話で会話している最中にあり得ないです。受話器から相手に周りの声が漏れるのは、少し考えれば分かることです。そしてその行為をしているのは、なんと課長職です。

 

許されるのなら録音テープを公開したいとさえ思えます。

 

パスワードが書かれたハガキは本当に直接ポストに入ったのか?、パスワードが一部漏れているので解析が容易になってしまったのではないか?、ログインしたらクレジットカード情報も表示されるので心配と考えるのは人間の心理であり、それを異常者と見なすこの保険会社(大人の自動車保険)はいったいどんな指導をしている会社なのか?

このような会社はいざ事故が起きたとき何も対応しないのではないか、払い渋りとか平気にやりそうな雰囲気です。事故を起こした顧客でさえ見下し、会話の笑いの餌にするだけではないかとさえ思えてきました。

例えば個人情報が漏れてニュースになったとしても、しっかり個人情報は暗号化されていました、管理はしっかりし行っている等々説明するのだろう、悪びれる様子もなく。。。

セキュリティカテゴリの最新記事