CONTACT

COLUMN

2023.05.17

vol.499「パスワードの再設定」

澤田 健太郎(ウェブ課)

オンラインサービスを利用する際、
パスワードを忘れたら再設定するというのは、
よくある話ですよね。
しかし、なぜ再設定なのか疑問に思ったことはありませんか?

私は昔「再設定なんて面倒なことをさせないで、
元のパスワードをショートメールで送ってよ」
と思っていました。

実は、サービス側はユーザーのパスワードを
そのまま記憶していないので、送ることはできないのです。

パスワードを記憶せずにどうやって本人確認をしているかというと、
サービス側は、ユーザーのパスワードをそのまま記憶せず、
パスワードを暗号化したものだけを記憶しています。

暗号化とは、パスワードを一定のルールに従って
変換することだと考えてください。
英数字や記号の長い羅列に変換されます。

同じパスワードを暗号化すると全く同じ結果になり、
暗号化されたパスワードからは元のパスワードに
戻すことは絶対にできません。

ログインの際には、ユーザーが今入力したパスワードを暗号化し、
サービス側が記憶している暗号化されたパスワードと
一致するかどうかを確認します。

つまり、暗号化されたパスワード同士を比較することで
本人確認をしているというわけです。

このように、サービス側でユーザーのパスワードをそのまま記憶しないことで、
ハッキングを受けてもユーザーのパスワードが漏れないようになっています。

これはログイン機能の初歩的な話ですが、
これを初めて知ったときは、
その仕組みにとても感心すると同時に、
元のパスワードを送ってもらえない理由にも納得できました。

最近では、「パスキー」と呼ばれる
パスワードのいらない本人確認が主流になりつつあります。
指紋認証や顔認証などで利用している人も多いのではないでしょうか。

パスキーを利用した認証がますます普及していけば、
パスワードを忘れて再設定する必要もなくなっていくでしょう。

CONTACT