異なるサービスのユーザ登録で同じパスワードを使うのは自殺行為

以前から思っていたが、以下の記事も出た事だしちょっと書いてみようと思う。
「同じID・同じパスワード」を使い回すと危険(nikkeibp.co.jp)

例えば以下の様なメールアドレス/パスワードを持っているとしよう。

kannagi-nagisama-haahaa@yahoo.co.jp
zangechanhaahaa

最近のWebサービスはログインアカウントとして確認できるメールアドレスを登録させる場合が多い。この場合、メールアドレスとして上記のkannagi-nagisama-haahaa@yahoo.co.jpを入れる。これはいい。確認が必要なのだから。

同時にログインをする為のパスワードを入れる様に求められる。これは自由に入れられる。その時に上記のzangechanhaahaaは決して使ってはいけない。そのサイトが悪意あるサイトだったらどうするのか。上記の場合Yahooのメールアドレスとその為のパスワードをそっくりその相手に渡す事になる。今やるならさしずめ「容量無制限のファイル共有サービスが開始」とでも言ってユーザ登録を募集すればあっと言う間に集まってその中の何人かは上記の様な事をしてくれるかもしれない。

たとえ相手が企業として事業実績があってもやってはいけない。データ管理までしっかりしているとは限らないからだ。もう10年程も昔、そろそろオンラインショッピングが普通になった頃にさる大手通販サイトで買い物をした。その時に確認メールアドレスとそのサイト用のログインパスワードを求められた。先日もの凄く久しぶりに使おうと思ってログインしようとしたがパスワードを忘れていた。パスワードを忘れた場合の対処はどうなっているのかと思ってクリックして驚いた。

登録したメールアドレスに登録してあるパスワードが送られてくると言うのだ。

それって、パスワードが復号出来るって事じゃないか。運良くこの通販サイトにはクレジットカード番号や送り先住所は登録せずにその場限りの決済をしていたのでほっとしたが実に危険極まりない。

どこから芋づる式にパスワードが漏れるか分からない。最低限、決済や住所・氏名が使われるサイトは全部別のパスワードにしなくてはいけない。

ここで例として挙げたYahooだが、ログイン画面で「重要なお知らせ　ID不正利用などの被害を防ぐためにも、サイトごとに違うパスワードを設定されることを強くおすすめします。」と書かれており、流石にユーザの多いサービスはユーザへの注意喚起が違うなと思った。