「パスワード平文保存って何か問題あるんですの？」 ITお嬢様と学ぶハッシュ化：ITお嬢様の今日も分かりませんわ〜！（2/4 ページ）

[ITお嬢様の召使いたち，ITmedia]

ヨシカワ

というわけで、セキュリティコーナーのタニイさんです。今回は今話題の「パスワード平文保存」の件です。

タニイ

お、今回はお嬢が何かやらかしたわけじゃないやつですね。

ITお嬢様

私だっていつも問題を起こしているわけではありませんことよ！　で、結局平文保存って何なんですの？

タニイ

平文は「暗号化（など）を施していない文字列」ですね。「ひらぶん」と読みます。

ITお嬢様

また知らない言葉が出てきました。暗号化？　ちょっとよく分からないですわ。もっと私でも分かるようにしてくださいませんこと？

タニイ

暗号化は「与えられた文字列をぱっと見では読めないぐちゃぐちゃな文字列に変換すること」です。例えば「はんにんはITおじょうさま」という文字列をこんな感じに変換したら、何のことか分からないですよね。

「はんにんはITおじょうさま」のシーザー暗号

ITお嬢様

例文に悪意を感じますわ！　でも……読んで字のごとく暗号にする、というわけですね。

ITお嬢様

……でも、待ってください。それが今回の漏えいの話とどう関係するんですか？

タニイ

パスワードって、ユーザーが入力したものと、データベースに保存しておいた文字列を見比べて、同じだったらログインできるようにするのが根本の仕組みなんです。

タニイ

要するにパスワードがシステムのどこかに保存されているんですけど、今回のケースではパスワードを平文で保存してるかもしれないんですね。

ITお嬢様

ふむふむ。

タニイ

例えばですけど、お嬢があるサービスから情報を盗もうと画策したとしましょう。システムに侵入したところ、こんな記録を見つけました。

ID：USER　Pass：DESUWA

タニイ

この状態で、お嬢は「USER」さんのアカウントにログインできますか？

ITお嬢様

DESUWAと入力すれば、できる……？

タニイ

簡単ですよね。これが平文保存のヤバさです。パスワードがそのままの状態で分かってしまえば、あとはIT知識がなくても不正ログインに成功してしまう。

ITお嬢様

なるほど、だから暗号にしなきゃいけないわけですね。