高木浩光@自宅の日記 - docomo IDを作ると生でパスワードを保管されてしまう, 日本の携帯電話はいつになったらアドレスバーを付けてくれるの?
高木先生のところで 生でパスワードを保管・・・ という話が出ていて、そういえばと思い出したので書いてみます。
EAのカスタマーサポートサイト(https://eaj.e-srvc.com/cgi-bin/eaj.cfg/php/enduser/home.php)で登録するEAサポートアカウント。これのパスワードリマインダを使うとログインIDとパスワードがそのままメールで送られてきます。どうやら生でパスワードを保管しているようです。
ただし、これはあくまでサポート用のアカウントなのでこのアカウントを使用して商品を購入したりはしません。なら、いいんじゃねという話でもないのですが。。
商品購入に必要なのはEAアカウントというやつでまた別に登録します。こちらのパスワードリマインダはパスワードリセット用の専用URLをメールで送ってくる方式のため、生でパスワードを保管しているわけではなさそうです。ただこのURLの有効期限についてはなにも書かれてなく無期限だったりする可能性も。普通はURL発行から○日までという制限があると思うのですが。
EAアカウントはアカウント情報を管理するサイトのドメインが米国EA本社のea.comになっているので世界共通のシステムなのでしょう。対してEAカスタマーサポートのサイトはe-srvc.comというそもそもEAと関係があるんだかよくわからないドメインなので、外注なのかレンタルサーバなのかともかく運用している所が違うのでしょうね。
だとしても、パスワード管理の運用ポリシーくらい同じにしておいて欲しいものです。
今回はたまたま使ってみたから気付いたのだけど、他にもこういうサイトはごろごろしてそうですね。