Web屋のネタ帳

ヤフオク「ID乗っ取り」報道に反論、情報流出の事実はない (Internet Watch 2008/9)の件、あらためて、簡単に言おう。

1. インターネット上の様々な便利なサービスは、IDとパスワードの両方を知っているか否かでそれが本人かどうかを確認してることがほとんどだ。

2. だから、パスワードを第三者に教えてはいけない。

3. 誰かが簡単に予測できるようなパスワードを使ってもいけない。1234とかabcdefgとかtaroとかhanakoとか。

この前提条件、いいね？ じゃあ、

4. 仮に、あなたがYahooに登録したパスワードが「jdf8!94ngio@mqiovudgr」という模範的に推測しづらいパスワードだったとして、

5. ここで質問です。

あなたは、楽器屋とかつり道具屋のサイトとかオンラインゲームのサイトとか化粧品屋サイトとか絵本屋のサイトとか、その他もろもろいろんなWebサイトにおいて、ユーザー登録などをするときに、パスワードとして「jdf8!94ngio@mqiovudgr」を使いましたか？
（なんで楽器屋とか釣り道具屋の話になるの？という人は→参考：「おまえがパスワードを流出させたんだ」と決めつける迷惑な人々）

「もちろんNoだ！わたしが jdf8!94ngio@mqiovudgr というパスワードを使ったのはYahooにおいてだけだ！」と自信を持って言える人だけが、Yahooに文句を言う権利があります。

えっ！？まさかYesだとおっしゃる？

じゃあ、教えたんじゃん！楽器屋とかつり道具屋のサイトとかオンラインゲームのサイトとか化粧品屋サイトとか絵本屋のサイトとか、その他もろもろいろんなWebサイトに、jdf8!94ngio@mqiovudgrというパスワードを教えたんじゃん！

そう。最初に挙げた「パスワードを第三者に教えてはいけない。」という前提をくずしたのは、あなた自身だ。

前提をくずした瞬間からあらゆるセキュリティは崩壊する。その全責任は、前提を崩したあなたにある。パスワードとはそういうものだ。 なのにまだ「俺は悪くない」とおっしゃる？

おまえYahooの回し者だろとか、俺は釣り道具も化粧品も買わんとかいうつまらんツッコミは却下。それから、予測しやすいパスワードを使った人に関する話なんてする必要ないくらいアホらしいので、省略。

あえてキビシめに表現したが、これくらい言わんとわからんでしょ。それでもわからん顔をするのがユーザーだし、そこをなんとかすんのも技術屋の役目といってしまえばそうだけどね。 認証という概念に関する現状と問題点とかそういうまじめな話はまた別の記事でやる（かも）。

see also:

• 「おまえがパスワードを流出させたんだ」と決めつける迷惑な人々 (2008/9)
• パスワードはサイバースペースの「実印」 セキュリティー-西本逸郎のセキュリティー表ウラ (日経IT-PLUS 2008/2)
• 結局、予想通りの展開（ヤフオクID乗っ取りの件） (2008/9)