ID非公開

2022/1/18 2:08

44回答

コールセンターの人にパスワード見られるってどう思いますか?

コールセンターの人にパスワード見られるってどう思いますか? お恥ずかしながら、昔に設定したクロネコメンバーズに登録したメールアドレスとパスワードがわからなくなってしまったのでコールセンターへ問い合わせをしました 登録した電話番号を聞かれ答えたら そのまま口頭でメールアドレスとパスワードを伝えてきました メールアドレスが見れるのはわかります でも、パスワード見れるんですか!? コールセンターで働いてる方、他にもID、パスワード関連に少しでも携わる仕事をしてる方にお伺いしたいのですが 顧客の設定したパスワードが見れてしまう…それって普通なんですか? IDパスワードを忘れた私が言うのはなんですが、私は正直そんな簡単に他人にパスワードが見られてしまう環境があるという事が怖いです 私が神経質なだけ?

補足

やっぱ会社側から客のパスワード見れるって普通は無い事だったんですね 少し安心しました とんなにコンプライアンスの研修を受けていても、人数も集まれば悪用しようとする奴は出てきますもんね…

ネットワークセキュリティ100閲覧

ベストアンサー

0
1250432746

2022/1/18 17:00(編集あり)

携帯販売をした後に、IDパスワードに関わりがあるコールセンターで働いてました どちらもお客様が設定したパスワードが見れるなんてとんでもないです パスワードはコールセンターの人間でも見れなかったので、「パスワードわからないので教えてください」と言われても無理 専用のURLからお客様自身で再設定して頂いてました なのでクロネコヤマトさんみたいな大手の会社の個人情報のセキュリティ管理がそんなザルだった事に衝撃です 携帯販売していた時は、アカウントを「私機械音痴だから〜」「責任とか、個人情報とか別に気にしないからやって!」と店員に作らせようとする、ネットリテラシー低めの人が大多数いました 紙にメアドパスワード書いて、それを店員に打ち込ませようとします それを店員が控えて悪用するかもしれないとか少しでも考えないんでしょうか? コールセンターの時も「個人情報なんでも言うからパスワード教えろや!」「パスワード調べて言うだけやろ!」という人も一定数いることも事実です しかも結構な割合でいます なので質問者さんのような考え方の方がいて少し安心しました 質問者さんの考えは神経質ではありません 至極真っ当です

その他の回答(3件)

0
大野俊夫

2022/1/19 23:13

え、え、え、え? そうなんですか? 驚き。 普通わかりません。 暗号化するのが普通 だから、基本再登録になる。 昔は、パスワードを郵送するというのもあったけど、今はわからなくなったら、初期化して再登録になるはず。 その環境は怖いですね。 住所や氏名もわかる。 メールアドレスもわかる。 メールアドレスがIDになっているシステムもありますよね。 そのオペレータが、その他人のメールアドレスと、パスワードを記憶しておいて、ほかのシステムにとりあえず入れてみると入れるかもしれませんよね。 大概パスワードって皆さんどんなシステムでも同じにしますよね。 (自分は全部違えていますが) 危険ですね。 そのオペレータが他人のパスワードを表示させたという記録が残るシステムなんだろうか? それもないなら、かなり危険 クロネコメンバーズってそんなシステムなんだ。 自分も持っていますが。 パスワードが色々なシステムで同じにしていたら、かなり危険ですね。

0
chi********

カテゴリマスター

2022/1/18 15:36

その手のウェブ系システム開発に関わっている者ですが、お客様のパスワードは「ハッシュ化」と呼ばれる処理(正確にはそこに種を混ぜて)を通して保存します。 その結果得られた結果から直接、お客様のパスワードを復号する事はできません。 専門的に言うと、復号できる処理は「暗号化」と呼びますが、それに対して「ハッシュ化」は復号できません(これを「不可逆性」と呼びます)ので、暗号化とは全くの別物です。 ですから、お客様から「パスワードを忘れた!」と言われても、開発者にも運営者にも誰にも、お客様のパスワードは分かりません。 ですから例えばYahooでも、パスワードを忘れた人に対する処理は、「忘れたパスワードを教える」のではなく、「Yahoo側が新規に生成したランダムパスワードを再発行する」ようになっているわけです。 このようにする事で、パスワードを管理するデータベースが何らかの事故で流出したり、運営や開発者の中にお客様情報を外部に持ち出そうとする悪意のある者がいたとしても、パスワード流出を防げます。 パスワードは、約8割もの人が、同じパスワードの使い回しをしていると言われています。 つまり、もし「生パスワード」が流出してしまうと、そこから連鎖的に被害が発生しますので、例え運営者であっても「生パスワード」が分かるという状況は、避けなくてはいけないのです。 大手サービスであれば尚更です。 クロネコという大手のサービスが本当にその状況であれば、これは「大きなニュースになっても決しておかしくはない問題」です。 決してあなたが神経質なわけでも、私が大げさなわけでもありません。 クロネコ程の大手であれば、生パスワードがそのままデータベースに保存されているのではなく、流石に「暗号化」はされているのだとは思います。 そう信じたいですが、ウェブ系の開発に関わっている私からは、ちょっと信じがたいレベルの話です。私は中小・零細・個人レベルのシステム開発に関わった事しかありませんが、これが本当に大手のレベルなのでしょうか? 冗談抜きで、心底驚きましたw

1
kxk********

カテゴリマスター

2022/1/18 6:29

一般的な情報システムでは、ログイン用のパスワードを平文で記録しません。 記録するのは、パスワードのハッシュ(復元できない暗号化みたいなの)です。 こうすれば、システム管理者でもパスワードの平文を知ることはできませんし、情報漏洩のような事故があっても一定の安全性が確保されます。

1人がナイス!しています