ついでにもうひとつポスト。
この手の騒ぎが起きる度に思っていたことですが、今回は私も利用してるサービスだったので書いておきます。
パスワードが盗まれたとか漏洩したとか騒いでる輩がいるけど、デマです。念のためパスワードデータをリセット(消去)しただけです。
お知らせをちゃんと読めばわかるとおり、パスワードそのものの漏洩はありません。…というかあり得ません。なぜならばEvernoteはみなさんのパスワードを知らないからです。システムには生のパスワード(平文パスワード)は登録されていませんので漏洩し得ないのです。
Evernote で管理している全てのパスワードは一方向暗号化(技術的に言うとハッシュ化・ソルト処理)により保護されています。
まともなシステムであれば、平文のパスワードデータをそのまま保存するようなことはしません(まともじゃないシステムも多々存在していますが)。お知らせに書かれているとおり「一方向暗号化(不可逆暗号化、ハッシュ化とも言う)」して保存します。一方向暗号化されたデータのことを「ハッシュコード」あるいは「ハッシュ値」といいます。
一方向暗号、不可逆暗号とは、一度暗号化すると二度と元に戻せない暗号化技術です。
通信内容を暗号化する際には「可逆暗号」技術が使われます。一方が暗号化したものを他方で復号(元の内容に戻す)できるようになっています。でないと内容が読めませんからね。
一方、パスワードのように復号する必要が無く、むしろ容易に元に戻ってはならないものには不可逆暗号の方がより安全なのは自明の理ですね。
復号せずに認証する、すなわち保存されているデータと入力されたパスワードが同じかどうかを調べるには、入力されたパスワードを同じ手順で暗号化して、保存されているものと比較します。
というわけで、真っ当なシステムから平文のパスワードが漏洩することはまずあり得ません。
パスワードの漏洩はほとんどの場合、ユーザー側から起きるのです。
ただし真っ当では無いシステムの場合は注意が必要です。可逆暗号が使われていたり、そもそも暗号化して保存されていなかったり…。
真っ当かどうかを見分けるにはそのサイトの「パスワードを忘れたとき」の手順をやってみると一目瞭然です。
真っ当なシステムでは、パスワードデータを復号できませんので、現在のパスワードをユーザーに通知することができません。したがってパスワードがリセットされ新たなパスワードが発行されます。
一方、もしパスワードの通知に現在のパスワードが記載されていたならば、それはパスワードを不可逆暗号化して保存していないということです。
極めて危険な状態です。
このようなサービスは利用しないのが得策ですね。
