Facebookさんも暗号化していなかった。
宅ふぁいる便がパスワードを盛大に漏らしたのは
ほんの少し前のことです。
freelance-from-forties.hatenablog.com
現状でよくあるパターンだと、
パスワードはハッシュ値と呼ばれる
不可逆なものに変換されて保存されます。
パスワードがあっているかどうかを確認するには、
入力されたパスワードを同じようにハッシュ値にして、
ハッシュ値が同じかどうかでパスワードが一致したかを判定します。
保存してあるのはハッシュ値なので、
万が一データが漏れても、
元のパスワードを推測しにくい状態になっています。
このハッシュ値を作成するにも通常は生のパスワードに、
ソルトとかペッパーと言われる文字列を追加した上で変換することで、
生のパスワードを推測しにくい状態にしています。
パスワードの使い回しを避けましょうというのは、
こういったサービスから平文(生のパスワード)が漏れた際に、
他のサービスでログインを試されるからです。
Facebookから外部にパスワードが漏れたわけではないですが、
内部の人はパスワードを見られる状態でした。
Facebookお使いの方は、パスワード変更した方が良いかもしれません。
