ログイン画面についてユーザーと制作者の違い

Twitter、facebook、mixi、楽天、Google、Yahoo、Bing等数多くのサービスを提供しているサイトがあります。これらのサイト以外にもまだまだ会員登録をするようなサイトがあります。会員登録をするサイトのログイン画面についてです。

暗号化されていない

Twitterもfacebookもそうですが検索してトップページにログイン画面があります。URLを見るとhttp://〜 となっていました。これには僕は不快感を示しています。このままログイン情報を入力するということはSSLがかかっていない平文のままパスワードやメールアドレスが送信されるということになると思ったからです。

Twitterのトップページ。ログインできるようになっているが実際にURLを見ているとhttp://〜 のままになっている

SSLのページではないのでログインするときに暗号化されていないのでパスワードが平文でいく可能性がある。ログインってボタンを押してログイン画面にいくとSSLのページがちゃんとでてくる。

暗号化されていなくて登録画面がある。

Twitterのトップページは検索していくとhttp://〜 のページです。暗号化(SSL)のページではないです。当然SSLで保護されていないので途中で盗まれる可能性は十分あります。ログイン画面でも同じです。暗号化されずに平文のまま送信されているかもしれません。

ハッシュ化しているから大丈夫は制作目線であってユーザー目線ではない

WPを使っていてデータベースを見たことがある人はわかると思いますが、WPでユーザーを作成するときにパスワードをいれますがデータベースの中には平文で保存されていません。ハッシュ化という方法で暗号化してあります。一番身近にあるのがWPだったので例にとりましたが、恐らくTwitter、facebook、Google、Yahoo Japan もユーザーの会員情報でパスワードを平文(入力した状態)でデータベースに格納している事は無いと思います。

外部からは調べることができないのでそうなっていると思うしかできないですが企業としてもしている確率は高いです。ハッシュ化で暗号化しておけば仮に自社の社員がデータベースにアクセスして会員情報をみてもパスワードが暗号化されているので復元ができないからです。平文(入力されたままの状態)だと社員に見えて下手したら悪用される可能性もあります。

しかし、どんだけハッシュ化しようがこれはユーザー目線ではなくあくまで制作側の視点になります。ユーザーからしたらハッシュ化?なにそれ?って思います。ハッシュ化しているから何?何がどう安全なの?って思う人もいると思います。ハッシュ化して送信しているからSSLを導入していなくても平気という理由にはなりません。

ユーザーはハッシュ化とか知らないし関係ない

ユーザー目線でいえば、ハッシュ化してパスワードを暗号化しているので安全ですよっていわれても、実際にそれを見れるわけでもなければ本当にそうなっているのかもわからないです。Twitter社やfacebook社、Google日本法人やYahoo Japan が安全ですよっていっても本当に安全かどうかは最終的には本人判断になります。

ハッシュ化しているから安全とかは正直ユーザーからしたら説得力に欠けます。新規登録するときやログイン画面等はSSLを導入するのが個人的にはしたほうがいいと思っています。SSLは暗号化の技術と言われているし視覚的にユーザーがわかる暗号化の手段でもあります。http://〜 ではなくhttps://〜 と変わるだけではなく、電子証明書があるので第三社の認証機関から認証されているサイトとしても認識されます。

SSLはユーザー目線の暗号化

SSLはユーザーが暗号化されているとわかる唯一の方法です。導入されているだけでSSLがかかっているから暗号化はされているとかセキュリティーかかっているんだなって思ってくれます。なのでログイン画面でログインしたり登録画面で登録するときもSSLがあるから大丈夫だろうって思ってくれると思います。SSLが導入されていないと平文のまま送信されるかもしれないとか思うかもしれません。ユーザー目線でわかる暗号化はSSLなので導入した方がいいです。

SSLがあるのはユーザーに安全ですよというアピール

僕は基本的にどんなサービスでもログイン画面とかを使うときはブラウザのURLを確認します。http://〜 になっていたら自分でhttps://〜 と追加します。僕あTwitterでもfacebookでもそうですが、基本的にはSSLがかかっていないとログインしたくないのでかかっていないときは自分でブラウザにいれます。そうすると自己認証局だったり認証局があっても運営者が不明ですとかでてきますがSSLのページに接続できます。

そのページでメールアドレスやパスワードをいれてログインします。http://〜 のままではいれることはしないです。SSLがかかっていないページではログインとかはしないです。平文のままデータが送信されるので途中で盗まれたりしたらいやですもんね。基本的にSSLがかかっていないサービスは使ってはいないので登録はしていません。登録する気にもなりません。

なぜなら、本当に安全かどうかがわからないからです。そのサービスを提供する会社しかハッシュ化しているかどうかはわからないですがもし外部に作ってもらったとかならその会社の人もわからないかもしれないです。そんな可能性があるサービスを登録したいとは思えないです。けどSSLが導入されれば、平文ではなく暗号化されて送信されているので見た目で安全だと思えます。