いろいろ話したうち、Webサービスのパスワードについて。

S「Aさんは、Y社のメールを使っているんですね」
A「はい。ADSL回線の契約とセットでした。」
S「他にアドレスは使っていないんですね。」
A「はい。メールアドレスは基本的にそれだけです」
S「ところで最近、無料会員制のWebサービスってありますね。わかります?」
A「メールアドレスを記入すると、仮登録が出来て、本登録メールが送られてくる」
S「そうそう。ところでY社のメールを使っていると言うことは、Y社の他のサービスも使いますね?」
A「はい。出品はしませんが、オークションに入札したりはよくします。あとは動画をちょっと」
S「ということは、パスワードは自分で入力することがある」
A「はい。暗記しています。」
S「でも、パスワードを暗記するのって面倒ですよね」
A「そうですね。あんまりたくさんは覚えられないと思います」
S「もしかして、先ほどあげた無料会員制のサービスにも同じパスワードを使ってませんか?」
A「え?は、はい」
S「そのWebサービスは、仮登録の際にあなたのメールアドレスを知っている。Y社のIDはメールアドレスの左側ですから、Y社用IDとパスワードをあなたはそのWebサービスに教えたことになりますね」
A「ああー。でも、それってどのくらいまずいんでしょうか?」
S「サイトによりますね。例えば、パスワードを忘れたとき、所定の手続きを踏めばパスワードを教えてくれるサイトと、パスワードを変更出来るサイトがある。このうち、前者はパスワードを平文で持っていないとそんなことができませんから、危険度が少し高い。でも、後者だってサービスとして提供していないだけで、内部的にはパスワードを平文で持っているかもしれない。これはWebサービスの外側からは判断がつきません」
A「それでは、危険なWebサービスには近づくな、会員登録するな、ということですか?」
S「なんかよく聞くフレーズですねそれ。まあ、あまりにも怪しいサービスについてはその通りですが、だからといって、どれが信用出来るサービス、という話は言えない。最悪、外見はいいけど、会社として内部的にうまくいっていなくて、それに不満を持った社員がパスワードファイルを持ち出す、なんてことがあったら一発で終わりです。そもそも、自分が他人のパスワードを盗み出すサイトを作るつもりなら、少なくともサイトの外見については気をつかいますよ、たぶん。」
A「プライバシーポリシーとか、規約とかありますよね」
S「基本的に、あれは中の人が『今後もこの会社で同じようにこのサービスを運営していきたい』と思っている間しか守られません。それに大抵のサービスには規約に『予告なく変更することがある』なんて書かれていますね。まあほとんどの会社は今後もきちんと運営していきたいでしょうから守るとは思うんですけどね」
A「そうすると、Webサービスは信用がおけないから使うな、ということになりますか?」
S「短絡してそういう答えにするのもポリシーによってはありだと思いますが、それだと今後困ることが多いと思いますよ。とりあえず、お金が絡むサービスのパスワードとそうでないサービスのパスワードは分けておいた方がいい、というか、あなたの場合は家に帰ってすぐにY社のパスワードを変更しておいたほうがいいでしょうね。」