水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > ニフティのパスワードは読み出し可能

ニフティのパスワードは読み出し可能

2005年4月28日(木曜日)

ニフティのパスワードは読み出し可能

更新: 2005年5月6日

ニフティを退会することにして、かわりに無料の @nifty ID というのに登録したのですが、今日になってその登録の通知が来ていました。これを開けてびっくり、なんとパスワードが書いてあります。私が ID を登録した時の初期パスワードはニフティ側で機械的につけられたものだったのですが、もちろんそんなパスワードは覚えられませんから、私はパスワードを変更したのです。実は登録直後は変更の方法も分からなくて、一日経ってから変更できることに気づいたという……。

驚いたことに、今日来た通知には私が変更した後のパスワードが記載されていたのですね。これはつまり、ニフティのサーバにはパスワードが生のままか、少なくとも復号可能な状態で保存されているということです。そしてシステム管理者はそれを印字できると。

これは非常に困ったことになりました。何故かというと、私が入れたパスワードは他のところでも共用していたりするものだからです。これは非常に迂闊でした。まさかパスワードが読み出せるシステムだとは思っていなかったので……。

とりあえず、私に送られてきた郵便物がどうやって作られて誰がそのパスワードを読み得たのかを問い合わせる必要がありますが、他の皆様 (誰?) には、ニフティに登録したパスワードは読み出し可能であり、それは郵便物に印刷され得るという事実をお知らせしておきます。もちろん、他で使っているパスワードをニフティで使うことは決してしてはなりません。

※追記: ひょっとすると読めるのは無料の「@nifty ID 登録ユーザー」のパスワードだけで、通常の有料会員のパスワードはちゃんと保護されているのかもしれません。そのあたりはちょっと分かりかねますが……。

まあ、とりあえず片っ端からパスワード変更ですな。

※2005-05-06 追記: @nifty:@nifty ID登録:パスワードの再発行 (www.nifty.com)を見ると、「弊社窓口にてご依頼を確認次第、 パスワード変更を行ない、ご登録住所宛に郵送にてお知らせいたします」とありますね。ユーザが入力したパスワードを印字して送っても問題ないという立場なら、現在のパスワードをそのまま送ってしまっても良いはずですが……。

関連する話題: セキュリティ / ニフティ

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト