ITmedia NEWS > 社会とIT >
連載
» 2017年08月24日 07時00分 公開

本当に使って大丈夫? “お金が絡む”Webサービスの安全性を見分ける4つの方法ITりてらしぃのすゝめ(3/3 ページ)

[宮田健,ITmedia]
前のページへ 1|2|3       

 パスワードを変更しなければならないときというのは、単純に「パスワードが第三者に漏れてしまった」ときです。その際は“すぐに”変更しなければ危険ですので、定期的にではなく「パスワードの漏えいが発覚したときに」変えればいいわけです。Webサービスを運営していてパスワードが漏えいしたら、その時点で利用者に通知されるはずです。

パスワード

 それにもかかわらず定期変更を促すということは、「自分たちがいつ攻撃を受けてパスワードを盗まれたか分からない」と宣言しているに近い行為ともいえます。この「パスワードは定期的に変更してください」という文言は「私たちはパスワードに対して無頓着です」と言っているようなものなのです。

 同様に、パスワードに対する考え方の表れは、パスワードの「制限」にも現れます。例えばパスワードの長さがたった8文字しかなかったり、大文字限定で入力させたりするのはあまり褒められたものではありません。

 これまでであれば、大文字小文字を混在させるだけでなく、数字や記号を入れるのがトレンドでしたが、これも強要すべきことではありません。現在ではパスワードよりも自然な言葉を複数並べることで強度を高める「パスフレーズ」の利用も普及しつつあります。

 この場合、パスワードの長さは64文字程度は必要です。いまだに8〜12文字しかパスワードとして設定できない場合、サービス運営者が「パスコードを知らない=セキュリティのトレンドに乗り切れていない」と判断ができるでしょう。

 そのほか、「あえてパスワードを忘れたときのフローを試してみて、パスワードそのものがメールで送られてこないことを確認する」ことや、「ID登録時に本人確認のためのメールを送信してくる」などのフローを確認し、問題がないかを確認するのもいいかもしれません。

「お金」に絡むサービスに対しては保守的でも問題なし

 個人的には、「お金」に絡むサービスには保守的です。どんなに便利なサービスが出たとしても、そのリスクを考え、利用には慎重になることを心掛けています。実際に利用した人たちがどのような反応をしているかや、どんなリスクが存在するのかを把握してからでも遅くはないでしょう。「いますぐやらないと損!」と煽るようならなおさら時間をかけるべきだとも思っています。

 今回は一般的な、Webサービスの外から見えるチェックポイントを紹介しました。もちろんこれ以外にも、各サービスの利用規約やプライバシーポリシーも確認する必要があるでしょう。しかし、分かりにくい表現になっていることが多く、一目では理解するのが難しいのが実情です。もし「パスワードは定期変更しましょう」という文言があったり、そもそもHTTPSに対応していなかったりするなら、私はその時点で利用しないと判断します。

 きっとそれ以外にも、たくさんのチェックポイントがあるのではないかと思います。皆さんの厳しい“視点”もぜひ知ってみたいですね。

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.