アカウント名:
パスワード:
パスワードリセットにメアドだけでなく氏名が必要な時点で察した
なにを察したのかわからなかったが、秘密の質問よりはマシじゃないかと。
# 文章的にメアドと氏名だけでリセットできてしまう ということの指摘でもないらしいし。# もしや本人しか受け取れないハズだからメアドだけで良いだろうとか思ったのか。
># もしや本人しか受け取れないハズだからメアドだけで良いだろうとか思ったのか。
良いだろうと思いますパスワードリセットしたところでパスワード再設定用のリンクは結局そのメアドに送られるわけですだとしたら結局そのメールは本人しか受け取れない前提ですですので結局パスワードリセットもメアドだけで良いはずです
なので、私もなにを察したのかわかりません。そもそもパスワードリセットにメアドだけでなく氏名が必要ということですがそれ自体ソースがないので事実かどうかわからないのですが。
キャリアメールアドレスなどは変えられるけど一定期間後に他人が取得することもできるので、私はこういうたまにしかつかわれないサービスの場合にもう一つ情報を求められること自体は否定はしないです。キャリアメールアドレスが唯一のメールアドレスという人は少なくない(うちの親などはそうです)とも思います。
攻撃者側視点だと、そのメールアドレスが使われてたこと、そのサービスが使われてたことまで知っていないといけないですが、迷惑メール送信してエラーが帰って来るようになったらそういう攻撃に切り替える集団もいるのでは・・・などと妄想してみたり。利用側視点では(悪意なく)重複した場合に登録済みと言われ登録していたかと思ってリセットしたら前の人の情報が出るというのも。
まぁ、最近キャリアメールアドレス変更する人ややめる人がどれほどいるのかわからないですが。(だから必須だとまでは言わないですけどね)一時期は迷惑メール回避の為に変更しましたって送って来る人は結構いましたけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
お察し (スコア:0)
パスワードリセットにメアドだけでなく氏名が必要な時点で察した
Re:お察し (スコア:0)
なにを察したのかわからなかったが、秘密の質問よりはマシじゃないかと。
# 文章的にメアドと氏名だけでリセットできてしまう ということの指摘でもないらしいし。
# もしや本人しか受け取れないハズだからメアドだけで良いだろうとか思ったのか。
Re: (スコア:0)
># もしや本人しか受け取れないハズだからメアドだけで良いだろうとか思ったのか。
良いだろうと思います
パスワードリセットしたところで
パスワード再設定用のリンクは結局そのメアドに送られるわけです
だとしたら結局そのメールは本人しか受け取れない前提です
ですので結局パスワードリセットもメアドだけで良いはずです
なので、私もなにを察したのかわかりません。
そもそもパスワードリセットにメアドだけでなく氏名が必要ということですが
それ自体ソースがないので事実かどうかわからないのですが。
Re: (スコア:0)
キャリアメールアドレスなどは変えられるけど一定期間後に他人が取得することもできるので、
私はこういうたまにしかつかわれないサービスの場合にもう一つ情報を求められること自体は否定はしないです。
キャリアメールアドレスが唯一のメールアドレスという人は少なくない(うちの親などはそうです)とも思います。
攻撃者側視点だと、そのメールアドレスが使われてたこと、そのサービスが使われてたことまで知っていないといけないですが、迷惑メール送信してエラーが帰って来るようになったらそういう攻撃に切り替える集団もいるのでは・・・などと妄想してみたり。
利用側視点では(悪意なく)重複した場合に登録済みと言われ登録していたかと思ってリセットしたら前の人の情報が出るというのも。
まぁ、最近キャリアメールアドレス変更する人ややめる人がどれほどいるのかわからないですが。(だから必須だとまでは言わないですけどね)
一時期は迷惑メール回避の為に変更しましたって送って来る人は結構いましたけど。