アカウント名:
パスワード:
他人に分からない難しい質問を考えて覚えるくらいならパスワードをメモしておく方が簡単
登録されているメールアドレスにパスワードを送付する方式の方が簡単で安全だと思うのですが
フリーメールサービスの場合、他のメールアドレスを持たない人がいる。
数百万人のうち数十人が盗まれたと言うのは、
リマインダーをはずすなら、パスワードも設定してはならないと言う論理が成り立ちはしませんか。
他人に分からない文字列を普通の人が創造するなんて、数億人の人が複数のサービスを利用する時代に、無理だと思いませんか。
もしお客さんがパスワードを忘れたとき、システム側で迅速にフォローができなかったとき、もし、訴訟を起こされたらと考えると、
最初から「登録時に設定したメールアドレス」にパスワードをメールすればいいだけの話だと思うのですが、 ... メールでURLの送付という中間ステップが必要な理由はないように思えるのですが。
もちろん、パスワードを画面に表示してしまうのはタコですが、アカウントをロックして新しいパスワードを設定させるというだけなのであれば
でせっかくその場で本人であることを確認した(形式的にせよ)というのに、
逆に最初からパスワード(or変更用URL)をメールで送るのであれば、そこでリマインダ認証をする必要はないでしょう。
これって結局「管理者の利便性」と「利用者のセキュリティ」をてんびんにかけた結果「管理者の利便性」を取ったために発生した事象ですよね。雪印とかと根は同じなわけで。
他人に分からない質問内容とその答えを創造する方がよっぽど困難だと思うんですが。個人的には、パスワードは「忘れてもいいから複雑なものを、忘れた場合は (何らかの「安全な」手段を経由して) 再発行するから」というルールを推奨したいです。 そうは考えない人の方が多いと認識していますけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
この機能は要らないでしょう (スコア:1)
他人に分からない難しい質問を考えて覚えるくらいならパスワードをメモしておく方が簡単ですから。
アカウント名やメールアドレスをキーに、登録されているメールアドレスにパスワードを送付する方式の方が簡単で安全だと思うのですが、どうしてあのような機能があるんでしょうね。
Re:この機能は要らないでしょう (スコア:1)
Re:この機能は要らないでしょう (スコア:1)
自分のWebサービスに対する認識の足りない部分をよく知る事ができました。
主に"自分が簡単である事"ばかりに目が行っていたのが恥ずかしい限りです。
Re:この機能は要らないでしょう (スコア:1)
少しネットを突っ込んで使うようになったらば、メールアカウント付きのプロバイダ(携帯含む)に加入するでしょうに…というのは偏見?
必要です。(was Re:この機能は要らないでしょう (スコア:1)
他人に分からない文字列を普通の人が創造するなんて、数億人の人が複数のサービスを利用する時代に、無理だと思いませんか。
つまり、このハイテクナンチャラというところが新聞社に言っていることが、現実的でない。
新聞社は、物忘れの激しい普通の人が、リマインダーによって助けられた人が何人いたことを調査して記事を構成すべき。そして、そのサービスにもし入れなかったときに(郵便でパスワードを送ることによって間に合わなかった)、訴訟を含めて損害を被った場合の社会的損失を考えてみて下さい。
Re:必要です。(was Re:この機能は要らないでしょう (スコア:1)
Re:必要です。(was Re:この機能は要らないでしょう (スコア:1)
>人に分からない文字列」を設定しない人、つまり他人に推測され
>るような文字列を設定する人達を、極端に増加させていると思わ
>ないのですか?
全くおっしゃる通りです。
でも、パスワードを忘れる人は、たくさんいます。
リマインダー以外の方法で救済する方法が、郵送だけだとすると、使い勝手が悪くなりますね。
もちろん、使い勝手とセキュリティは相反する要件ですが。
Re:必要です。(was Re:この機能は要らないでしょう (スコア:4, すばらしい洞察)
Re:必要です。(was Re:この機能は要らないでしょう (スコア:1)
実は、リマインダーを実装していたのですが、ペットの名前なんて説明で書いていて、こりゃ問題だー、と思っていたけど、みんなそうやって実装しているし。。。
それに、最後の「拒否できる」機能って必要ですね。リマインダーを実装していなくて、もしお客さんがパスワードを忘れたとき、システム側で迅速にフォローができなかったとき、もし、訴訟を起こされたらと考えると、他社の普通に実装しているレベルを実装せざるを得ない。。。っていうところで、悩んでいました。
Re:必要です。(was Re:この機能は要らないでしょう (スコア:1)
Re:必要です。(was Re:この機能は要らないでしょう (スコア:1)
そうそう。私はリマインダーの答えはキーをめちゃくちゃに
たたいてお茶を濁していますけど^^;。
なぜ、あんな単純な手順でパスワードのような重要な情報を
他人が知りえる手段を増やすのかずっと理解できなかったです。
Re:必要です。(was Re:この機能は要らないでしょう (スコア:1)
Re:必要です。(was Re:この機能は要らないでしょう (スコア:1)
Re:必要です。(was Re:この機能は要らないでしょう (スコア:1)
つまり、何でせっかくその場で本人であることを確認した(形式的にせよ)というのに、必要な情報をわざわざそれとは切り離された別ルートにメールで送るのでしょう、ってことです。
こういう場合は、せっかく本人認証したんだからその場でパスワード変更させてしまわないと却って危険です。メールアカウントはおっしゃるとおり盗聴されているかも知れないし、あるいはPOPパスワードを盗まれて乗っ取られてしまっているかもしれないのだから、メールを受け取った人間とリマインダ認証に正しく答えた人間は別人かも知れない。おっしゃる方法ではそこをチェックする方法がありません。もちろん画面上で即変更を許しても完全にはチェックできてないんだけど危険性はぐっと低くなります。
逆に最初からパスワード(or変更用URL)をメールで送るのであれば、そこでリマインダ認証をする必要はないでしょう。パスワード(変更用)メールは、その送信を要求した人が誰であるかとはまったく関係なくそのアカウントの占有者に届くからです。
Re:必要です。(was Re:この機能は要らないでしょう (スコア:1)
Re:必要です。(was Re:この機能は要らないでしょう (スコア:1)
そうなんですか?弱いリマインダ設定は弱いパスワードと同様にセキュリティとして弱い、という当たり前の結論しか出てないと思いますけど。
>そのシステムなら、適当なユーザIDを与えて(中略)飛んでくるんではないですかね。
でたらめなIDが一定数入力されたらそのクライアントからのリクエストは無視するようにすればいい。というか、どの方式にも欠点はあるしそれを回避するには工夫がいるわけで、そんなのは当たり前です。
リマインダ機能でクライアント側にいるユーザがちゃんと認証をパスした、という前提であれば、そこからわざわざそれとは別の人間であるかもしれないメールアカウントの占有者にパスワード変更権を引き渡してしまうのは仕掛けとして危険ですよ、と言ってるのですけどね。
もちろん画面上で変更させてしまうのが安全かと言えば、認証をパスした人間とパスワードを変更する人間が多分同一時刻に同一クライアントのそばにいる人物である、多分一人の人物である可能性が高い、その分しか安全ではありませんが。
どうしてもリマインダ認証+メールで送付、という方式に固執するのであれば、せめて、リマインダ認証した直後に画面上に表示されるデータとメールで送付されれデータの両方がないとパスワードが変更できないようにするなどの、もう一段の工夫がないとダメだと思うんだけどなあ。
Re:必要です。(was Re:この機能は要らないでしょう (スコア:1)
Re:必要です。(was Re:この機能は要らないでしょう (スコア:1)
これって結局「管理者の利便性」と「利用者のセキュリティ」をてんびんにかけた結果「管理者の利便性」を取ったために発生した事象ですよね。雪印とかと根は同じなわけで。
他人に分からない質問内容とその答えを創造する方がよっぽど困難だと思うんですが。個人的には、パスワードは「忘れてもいいから複雑なものを、忘れた場合は (何らかの「安全な」手段を経由して) 再発行するから」というルールを推奨したいです。 そうは考えない人の方が多いと認識していますけど。