年末に出来なかったデジタルの大掃除をしている。
とりあえず、もう使っていないサイトのアカウントを削除することから始めた。
数年やっていなかったためかなりの量のアカウントを削除することになった。
困ったことに、いくつかのサイトではウェブブラウザからの操作ではアカウントを削除出来ないものも存在する。
例えば、ExpressVPNなどはアカウントを削除はメールでのアカウントを削除依頼が必要である。スッキリはしないが面倒なので放置である。
TunnelBearはアカウントを削除機能がユーザーに提示されていない。「作れるけど、消せない」というのは面白くない。
また、Apressに至ってはSpringerと統合されたらしく、ログイン機能すら無くなっていた。ワイの買った電子書籍はどうなったんや?
ついでにパスワードも更新する
ついでに各サイトのパスワードも更新しておいた。
(非常に)困ったことに、未だに「パスワードの最大長」が極端に短いサイトも存在する。それも銀行やクレジットカードのサイトといった重要度が高いサイトにそういったものが多い。
例えば、
といった感じである。
今のご時世、「パスワードの最小長」が8文字でもセキュアではないと言われているのに、「最大長が8文字」とはどうかしている。いろいろ不安になる。
アマゾンは、最小長が6文字、最大長が128文字(らしい。別のサイトでは256と書かれていたが)とのことである。
「128文字のパスワードを実際に使う人がいるかどうか」はここでは問題ではない。どうせパスワードマネージャーを使うから記憶しないし、問題にすらならない。
そもそも「最大長が8文字」のサービスは、その認証情報をどうやって保存しいてるのか不安になる。PBKDF2、bcrypt、scryptなどといったパスワードハッシュで保存されていれば、入力長を8文字に限定する必要などない。
「ひょっとして、平文(あるいは平文に複合可能な暗号)で保存されているのか?」と邪推してしまう。
「同一アカウントに対して複数回(たいてい3回?)失敗したらアカウントをロックするから問題ない」という意見も片手落ちである。それはオンライン攻撃しか想定されていない。
アカウントの認証情報が漏れた時に面倒ごとに巻き込まれなく無いのである。
長いパスワードを設定できる銀行に変えるべきだろうか。