パスワード管理のBitwarden移行完了、日本のWebサイトの脆弱性も見えてきたよ

こんにちは、makoto です。

9日間、毎日少しづつ作業して200以上あった「不正利用されたパスワード」とGoogleさんが警告してくれていたサイトのパスワードをBitwardenに移行完了しました。
疲れた！

実際はまだ2つ警告リストに残っているのだけど、そのうち2つは会社が加入している健保組合の共通ID/Passwordなので僕が変更するわけにはいかない。
「データ侵害で漏洩　たった今」
て出てるんだけど大丈夫かな？
まぁ個人情報とかが掲載されているページではなくて、健保組合で契約している保養所やレクリエーション施設の詳細情報を見れる、加入会員企業しか見れないように形式的に設定しているだけだから大丈夫だろう。

そして「脆弱なパスワード」というリストもあって、こちらにもかなりの数のサイトが載っている。
「脆弱なパスワードは簡単に推測されてしまいます」
ということなので、人間が覚えられる範囲の少ない桁数で、英数字が混じっていなかったり、意味のある単語になっていたりなんだろう。
これらのサイトのパスワードは暇を見つけてぼちぼち変更していこうと思う。

Bitwarden（などのパスワード管理ツール）は実際使ってみるまでは少し不安もあったのだけど、案ずるより産むが易し、何のことはなかった。
Bitwardenで生成した複雑なパスワードはクラウド上の保管庫と呼ばれるスペースに登録されていて、マスターキー（パスワード）と2段階認証のコードがないと見られることはないので、まぁ安心なんだろう。
あと、覚えられないパスワードでも、ChoromeやSafari(iCloud)の自動入力で覚えておいてくれるので、デバイスが変わっても大丈夫。

今回、多くのWebサイトのパスワードを変更していて思ったことが1つ。
海外のWebサイトは、パスワードに使える文字は英数字記号で制限がなく、パスワード文字数も30桁以上でも通すことが出来る。
つまり、そう簡単には推測されない、かつプログラムで文字総当りしても時間がかかる、ということになる。

ところが、日本のWebサイトはどうだろう？
こんな大手が？というところでも、
「パスワードは8桁以上12桁まで。半角英数字を1文字以上使って」
とかが結構ある。
たまに記号を使えるというサイトがあっても、'-'(ハイフン)と'_'(アンダースコア)だけとか、3-4種類くらいの記号しか使えないのでBitwardenでは記号入で自動生成は出来ない。
いやいや、ザルじゃん。

現在の基準だとそのパスワードルール自体が「脆弱なパスワード」になってしまうんだけど。
おそらくバックエンドが古いシステムで、それこそレガシーで動いていたりするものだから、日本語文字コードの制限とか、パスワード用に取ってあるレコード長の問題なんだろうな、とは思う。
ただ、そこを改修しようとするとかなりコストがかかるから放置しているんだろうが、セキュリティに関してコストをかけないというのは、今の時代にWebサイトを運営している立場としてどうなんだろう？とは思う。
恐ろしくてアカウント削除したくても、自分でアカウント削除が出来るような新設設計には当然なっていない。
そして、酷いサイトになると、パスワード変更のリンクをクリックするとサイト側から8桁程度の（一応ランダムではあるが）新しいパスワードをメールで教えてくれて、そしてユーザ側では変更出来ない、というクソ仕様のところが数件見受けられた。
もう、全然ダメ。ゴミ。
そりゃそうだよな、あの流通小売大手のセブンイレブンジャパンが鳴り物入りでリリースしたはずのQRコード決済「7pay」もすぐにセキュリティ事故で中止になったくらいだし。
セキュリティにコスト削減はしちゃいけないし、箱物ゼネコンと同じやり方でシステム開発も
「大手元請けSI==>下請けSI==>孫請ソフト開発==>なんならさらにその下部のプログラマ」
てな感じで、プロジェクト管理費の名目で中抜き、中抜き、でやっているんだから全然ダメだ。
N◯◯デー◯とか、日◯製◯所とか◯士通とか、IT元請けは止めた方がいいと思う。
だから、デジタル庁みたいな利権まみれのクソ省庁もまかり通るんだろう。

いかん、話がとんでもない方向に行ってしまった。
ま、そういうことで。
パスワード管理は自分で自分の身を守る最後の砦なので、しっかりやりましょう！

それでは！

過去のパスワード管理の記事はこちらです。