パスワードの再発行をやってみると、どれほどのセキュリティ感覚でそのサイトが作られているかが分かる。
- 平文で自分が設定したパスワードが送られてくる。
- パスワードが再設定され、新しく設定されたパスワードがメールで送られてくる。
- さらに、そのパスワードで通常通りログインができて、サイトも自由に使える。
- パスワードが再設定され、新しく設定されたパスワードがメールで送られてくる。
- しかし、そのパスワードには有効期限が設定されていて、有効期限内に自分でパスワードを変更しなければならない。
1.は最低のパターン。
パスワードが平文管理、もしくは復号可能な状態で置いてあるのがはっきりと分かる。
2.は復号不可能な状態でパスワードが管理されている可能性大。
メールが盗みみられても、すぐ自分のパスワードに変更すれば安心。
ちなみに復号不可能な状態というのは
管理者にパスワード教えて!といっても管理者も分からない状態になっているということ。
3.は強制的にパスワードを変更させられるのでより安心か。
でもユーザーがめんどくさがりで「123」とか設定してきたら、もっと危ない気もする。
ネタ元
