仮パスワードのセキュリティについて

会員制サイトを運営しています

最近はユーザー登録やパスワードリセットの際に「仮パスワード」式はめっぽう減って、urlにリセット用tokenを付与するスタイルや6桁のコードを入力といったスタイルが増えているように思います。

たとえば、salesforceの場合でも
https://help.salesforce.com/articleView?id=000230615&language=ja&type=1
このような記事がありました。

これはどういった意図からそのようになっているのでしょうか？

認証に必要な情報をメールに記載すると言う意味ではどれも同じような気がしますが、
digestされていないそのままのパスワードがメールに記載されるのは望ましくないということなのでしょうか？

<質問の背景>
現在はurlにtokenをセットするスタイルで実装しているのですが、メールブラウザなのかコピペミスなのか、認証に失敗するケースが増えており、問い合わせ増加に悩んでいる故です。

行動規範の内容に同意します

回答2件

ベストアンサー

実際のところはわからないので想像ですが、仮パスワードで一度でもログインできてしまうと、それをずっと使い続けるユーザが発生するからでは？
＊正直それでも良い気はしますがｗ

運営側では、パスワードに対して責任回避の意向があるはずなので、使い続けられるのは避けたいんだと思います。

投稿2018/04/11 02:50

退会済みユーザー

総合スコア0

2018/04/11 03:04

ご回答ありがとうございます！なるほど。そうすると仮パスフラグをつけて、仮パスによるログイン後には新らしいパスワードをセットすることをマストにすれば、実質問題なく運用できそうですね。

退会済みユーザー

2018/04/11 03:34

仮パスワードの場合、既存のパスワードに影響を与えないため、別テーブルで管理するのが一般的だと思います。また、処理や画面周りも仮パスワード用のものが必要です。

2018/04/11 11:23

確かに分けたほうが安全そうですね。ありがとうございます。思ってたより実装コストあがりそうだな....大変たすかりました！

行動規範の内容に同意します

te2ji さんの回答に同意ですが、別の理由として、よく分かってない脆弱性診断業者が、「平文メールにパスワードを載せるのは脆弱性だ」と指摘する、というのも可能性としてはあります。

投稿2018/04/11 09:45

総合スコア11701

2018/04/11 11:22

ご回答ありがとうございます！確かに....。仮パスワードは知識が中途半端なほど、脆弱性がありそうに感じるところですよね。

行動規範の内容に同意します

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

関連した質問