「忘れることもあるので助かる」なんていうのは間違いだ。本来システムにはパスワードなんて保存されていない。それじゃあどうやってIDとパスワードで本人確認が出来るのだろうと不思議に思う人も多いかもしれない。キーワードは「ハッシュ関数」だ。

ハッシュ関数は「ある情報を元にして固有の値を作り出す特殊な関数」だ。非常に複雑な計算をして固有の値を作り出すので、ある情報が違うと作り出される固有な値も全く違ったものになる。違った2つのある情報から偶然同じ固有な値が作り出されることは絶対に無い。また固有な値から元のある情報を割り出すことも不可能だ。つまり逆関数を割り出すことは出来ない。

通常システムには「IDとパスワードを元にした固有な値」しか保存されていない。つまりパスワードは保存されていないのでシステム管理者でさえ、あなたのパスワードは分からない。もしあなたがパスワードを忘れてしまったときは、システム管理者はあなたのパスワードをリセットして一時的なパスワードを発行することで対応する。もちろん一時的なパスワードはすぐにあなたしか知らないパスワードに変更することを求められる。

しかし頭が悪い連中はパスワードを保管していた方が都合が良いと考える。その結果がずさんなパスワード管理体制だったソニー・ピクチャーズへのサイバー攻撃は従業員の家族が脅迫を受ける事態にまで発展だ。


もしあなたが使うシステムで「あなたのパスワードを他人が教えてくれる」「あなたパスワードはシステム管理者が一方的に割り当てたもので、あなたはパスワードが変更できない」なんてものだったら利用を拒否すべきだ。

どうしても使用しなければならないならばできるだけ消極的に使用すべきだ。あなたのIDとパスワードは他人が勝手に使用しているかもしれないのだから。万が一あなたのIDとパスワードが不正使用されたらこう言えばいい。「私のIDとパスワードはシステム側から漏洩した。なぜなら私はIDとパスワードを厳重に管理している。したがって何の落ち度も無い私には責任は無い」と・・・