パスワードの危機
From hdkINO33さんのところ。
オレが言わんとしてることをジャストミートで解説してくださっています (T T)(感涙)*1。
「パスワード忘れた場合の再発行」についての問題が出てきますが、この際は(一部のサイトで採用されていますが)
- ランダム文字列を生成する
- それに対するハッシュを計算してユーザDBに格納する
- ランダム文字列を新しいパスワードとしてユーザに送付する
当然、システムにログイン直後にパスワード変更を促す
というフローが現実的なんかなぁ、とか思ったり。
本人確認は、「登録したアドレスに出されたメールを読める」というあたり(これもちょっとなぁ…という人もいるのはわかりますが)現実的な感じか。
*1:オレのために書かれたわけでもないですが(笑)