パスワードの管理は困難です。保護すべきアカウントごとに、ユニークで複雑なパスワードを作成するのは容易ではありません。企業はこうしたパスワードの保護に失敗するケースが後を絶ちません。その好例が、Googleが火曜日に発表した、2005年から2019年にかけて一部G Suiteユーザーのパスワードを平文で保存していたという発表です。
ほとんどのシステムは、パスワードを自動的に「ハッシュ化」し、ハッカーがほぼ解読できない状態にします。そのため、誰かが標的のシステムに侵入したとしても、ほとんどのハッカーがどうすることもできない、意味不明な文字列が残されることになります。2005年にG Suiteにアップデートが行われ、ユーザーがパスワードを回復できるようにするために、このハッシュ化が誤って停止されてしまいました。
パスワードはGoogleの暗号化されたシステムに保存されていたが、従業員がハッシュ化されていないパスワードにアクセスできた可能性があるため、これはあまり安心できる状況ではない。ハッシュ化はハッカーを阻止するだけでなく、データを預けている企業から人々を守る役割も果たしている。
Googleは、この問題は企業顧客のみに影響するため、一般ユーザーは慌ててパスワードを変更する必要はないと述べた。同社は影響を受けた顧客に通知し、パスワードを自ら変更しないアカウントは自動的にリセットするとしている。(この騒動に対処しなければならないIT部門には、敬意を表したい。)
Googleによると、パスワードが不正使用された兆候は見られなかったため、アカウントのリセットは主に予防措置となる。最終的には不要になることを願うが、世界中の大企業が使用するアカウントのセキュリティに関しては、安易に判断しない方が賢明だろう。
ハッシュ化は、ユーザーがアカウント保護のためにパスワードに依存している企業にとって、基本的な要件です。しかし、この点で失敗した巨大テクノロジー企業はGoogleだけではありません。Facebookも最大6億件のユーザーパスワード(そして数百万件のInstagramパスワード)を同様に無防備な状態に放置していました。パスワードセキュリティの基本さえも、なかなか理解しにくいものです。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
