マーケティングというお仕事をしていると、展示会などのリアルイベントに出展する事が多々ある。コレ自体は、なんだかんだと言って顧客とリアルで触れ合えるいい機会だと思っている。
しかし、どうしても気になって気になって仕方がないことがある。
リアルイベントに出展すると、あれやこれやを提出するシステムを使わなければならない。セッションのタイトルを出したり、ロゴを出したり、セッション参加者の情報をもらったりするシステムだ。
で、気になっているのは、このシステムにログインするためのパスワードが、メールに平文で書かれて送ってこられる…… ことが非常に多い。しかも、ログインURLとログインIDもセットになっていたりする事も珍しくない。
ほら、普段の生活では「メールでパスワードが来る」なんて流石に絶滅してるじゃないですか。でも、お仕事でイベントに出展すると、パスワードが普通にメールに記載されているんです。パスワードは念のため更新してね。って書いてあるんだけど、平文で登録されているであろう管理方法の所にパスワード登録するって結構勇気がいる行為ですよね……
あ、ちなみに、ハッシュ化と暗号化は別物だよ! という正確さの定義は一旦脇において暗号化という言葉を使っていきますね。
閑話休題
メールでパスワードは問答無用で悪。悪・即・斬って言うのはある程度常識になっていると思っているし、インターネッツでは「パスワード平文」って晒しあげられたりするじゃないですか。
万が一にも情報が流出した時の備えとして、パスワードは暗号化しておくべきだし、メールという重要情報を送るべきでないツールで、重要なパスワードを流すなんて異常としか思えないんですよ。
なのに、お仕事のイベントで出展するとビックリする事が多い……
これ、正直、やっぱり異常だと思うし、治した方がいいと思うのですよ。「パスワード平文プギャー」とかDisりたいとかそういうのでは全然なくて、ただ、おかしいことだから直して欲しい、という誰に向けているのかさっぱり分からない心の叫びなんです。
パスワード暗号化はWinWinWin
パスワードの平文を辞めることって、都市伝説と思われている「WinWin」だと思うんです。いや、来場者・出展社・主催社の全員が「得」をするので「WinWinWin」です!近江商人的に言うと三方良しですよ!!
来場者からすると、自分の個人情報がやりとりされているかもしれないシステムのパスワードがメールで送られているって恐怖以外の何者でも無いですよね。あと、出展社のシステムがパスワード平文って事は、来場者側のシステムの推して知るべしですよね。
次、出展社。パスワードが普通に平文で登録されていて、それがメールでやりとりされているとか恐怖のシステムですよ。そこにプライベートで使っているパスワードを登録したりすると、リスト型攻撃のいい肥やしにしかならないです……
主催者。万が一、流出した時のインパクトを考えてみてください。「平文でした」って謝罪文をWebに載せる事を想像して見てください。予防に勝る治療なしです。コントロールできるリスクは管理するべきではないでしょうかね。
いや、でもITスキル高くないから……
反論されそうな事を勝手に想像して、反論に反論していきます。
まず、言われそうなのは「出展する人はITスキル高く無い人もいるから…… メールで書くのが出展社のためなんだよ」とかとか。
うん、無い。
そのITスキルが高くないと想定している人たちはきっとFacebookとかTwitterとか使ってると思うし、それらのサービスではパスワードがメールで送られてきたりはしない。あたり前にしない。もし、本気でユーザーはメールにパスワード記載されていないとログインできないと思っているんなら、それはパスワードの平文保存よりも、もっともっと根が深い問題な気がする。顧客を馬鹿にしているっていう問題ね。
最近、某ISPがSSL通信によるメール接続を「上級者向け」としていて問題になっていたが、ユーザーのセキュリティを担保する事に、相手が上級も中級も初級もない。
出展社は一つのアカウントを使いまわすから……
出展社はユーザー毎にアカウント作るのを面倒臭がって1アカウントを使いまわす傾向にあるから、メールに記載しておいたほうが親切……
笑えないぐらい危ない。
もし、もしもですよ、メーリングリストで登録して使いまわしているアカウントで、ユーザーAが自分のいつも使っているパスワードに設定するとします。そして、ユーザーBが「パスワードをお忘れの方はコチラ」をクリックしたとします。で、メーリングリスト宛にあなたのパスワードは******ですよ。ってメールが飛んだとします。
これ、立派なパスワード流出ですよね。メーリングリスト宛に各種プライベートサービスで使われているかも知れないパスワードがばらまかれてる。だれかがFacebookにアクセスして会社のメールアドレスとそのメールに記載されているパスワードでログインしたらどうしますか?
そこには修羅の世界が広がってますよ。
途中でも書いたんですが、Disりたいわけではないんです。ただ、パスワードが平文という状態が常態化している事は異常だし、リスク高杉だから直してほしいだけなんですよ。ほんと……やめませんか :|