パスワードはどこにも保存されていない

更新日時:

この時期になると思い出すことがあるので、ここに書く。

事実

世の中には「パスワードはどこかに保存してあって、権限がある人に頼めばパスワードを教えてもらえる」と思っている人が一定数いる。

しかし現実には、ごく一部の相当愚かなシステムを除けば、普通のシステムでは生のパスワードを保存することはありえない。

普通のパスワード照合の仕組みについてはここでは触れない。ご存じない上に気になる方は「パスワードのハッシュ値」について調べてほしい。

私が開発した計算数学出席管理システムでも、生のパスワードは保存されていない。別にこんなのは取り立てて言うほどのことではなく、ごく当たり前のことである。実際 Ruby on Rails では bcrypt-ruby が、事実上標準となっている。

困った例

さて、上記の点を総合すると、「現実」とは異なった認識の人間が一定数いるという結論が導かれる。

ECCS システム相談員をやっていた頃「パスワードを教えてほしい」という質問は山ほど受けてきた。その度に「本人が忘れると、パスワード再発行以外の手はない」ということを説明した。殆どの方は「教えてもらう」を諦めて再発行の手続きへ進んだ。納得しない方には仕組みの説明をした。

しかし、中には愚かなことに、全くこちらの言うことを理解できない人もいる。

私が一番がっかりした例を挙げておこう。若くてかっこいい格好をしているが、学生にしては年を取っているなと思っていた。「パスワードはどこかに保存してあって、あなたは見れるんでしょう」と言っていた。

私は「できません」「本人が忘れると再発行することになります。再発行の手続きは…」と説明するも、不快そうな顔つきになっていった。1

話を聞いているうちに、その人はうちの研究科の非常任の教員であることを自然と明かしてきた。向こうも私のことを知っているようで、私の名札をチラチラ見つつ、サングラスをかけながら睨んできた。

この人は私をダメな人だと思ったようで「あなたがわからないなら、もっと別の人に聞きます。システムの担当者はどこにいますか」などと言ってきた。情報教育棟と情報基盤センターを紹介した。

しかし現実は、私がダメなのではなくて(私の計算機の能力はまだまだダメなのかもしれないが)、パスワードはどこにも保存されていない。誰に聞いてもパスワードそのものは教えてもらえない。どんな人に聞きに行くのだろう、この人に事実を納得させられるのはどのような人なのだろう、と思いながら背中を見送った。

一般論として、研究科の教員に与えられた権力は、数学の研究を円滑に行い、未来の数学を創るためのものである。パスワードを教えてもらえないからといって拗ねて駄々をこねるために使うことはあってはならないのはいうまでもなかろう。

結論

こういう認識の人を 1 人でも生み出さないために、数学科にも計算機実習があるのだろうと思う。計算数学の役割はとても大きい。

私には個人を攻撃する意図はない。彼には私を攻撃する意図はあったのかもしれないが、私は、彼のような認識を改めた人を数学科から輩出する重要性を語っている。

  1. 補足すると、当時の ECCS (ECCS 2012) は再発行手続きができる場所が駒場では 1 箇所であった。また、再発行されたパスワードが使用できるようになるのは翌日の朝だった。これは相当大変だったろう。現在 (ECCS 2016) では、各研究科の窓口でも再発行可能になり、1 時間後にはパスワードが有効となっている。 

コメントする