How Not to Do Web Site User Registration ≪ SANS Application Security Blog

This is one of the very very few times I recall being shown both my user name and password on a web site. This can only mean that WordPress is storing my password in plain-text in their database or using reversible encryption ? I suspect the former ? plain text…with this knowledge I then glance up at the URL. *Sigh* ? http:// ? no ’s’, meaning this was sent over the wire unencrypted for anyone paying attention as my credentials bounced from Columbus, OH up to Cincinnati, OH -back down to Atlanta, GA and then over to Dallas, TX ? at first I wanted to kick myself ? I should have been paying more attention to the activation email link and noticed? the lack of the ’s’ and added it manually ? but wait, why would I? I didn’t expect to be shown my credentials…this is not common.

via appsecstreetfighter.com

まぁコレに限らず、「あなたの ID/PW はしかじかに設定されました」と、ご丁寧にメールでよこしてくるサービスも、まだまだ多い。ユーザへの配慮という事情があるのは分かるんだけど、自分で決めた ID/PW だったら確認のメールはいらんだろうと思う。

まぁ、パスワードを忘れたときの対応として、「パスワードのリセット（再発行）」じゃなくて「パスワードの通知」をサポートしているサービスは、おおむねクリアパスで情報を格納していると予想できる。もちろん、データベースと別の管理サーバを使って鍵認証で復号可能な暗号化をほどこしているという稀有な事例もあるわけだが。