パスワードの暗号化について

phpでpassword_hashを使えば、パスワードの暗号化を行うことはできますが、ユーザーがパスワードを忘れたときはどうするのかが気になります。

PHP
1<?php
2$message = "pass";
3$hash =  password_hash($message, PASSWORD_DEFAULT);
4 
5if (password_verify("pass", $hash)) {
6    echo 'Password is valid!';
7} else {
8    echo 'Invalid password.';
9}
10?>

調べてみたところpassword_hashはもとの文字を復元することができないとサイトに書いてありました。ならばパスワードを忘れたら終わり？じゃないですか？

パスワードを忘れた場合の対策があればご教授お願いします。

行動規範の内容に同意します

回答2件

ベストアンサー

ここで言うユーザーというのは、例えば会員制サイトの登録ユーザーということでしょうか。
どこのサイトでもそうですが「パスワードを忘れた場合は？」みたいなリンクが用意してあって、そこから登録済みのメールアドレスにパスワード更新のための案内が届きますね。
つまり忘れた場合は新たに登録し直しが基本かと思います。

投稿2016/07/14 02:40

ttyp03

総合スコア16998

isacRu

2016/07/14 02:42

あ！そういえばそうですね！ありがとうございます。

行動規範の内容に同意します

あらゆるサイトでよく見かけると思いますが、「パスワードを再設定させる」というスキームで対応することになります。パスワードは「絶対不可逆」で保存することがセキュリティの前提であり、どうにかして解析できたらむしろそちらが問題になります。
パスワードをリセットさせるのであれば、対象のユーザにしかわからない設問を設け、対象のユーザしかアクセスしようがないメールアドレスにリセット用のURLを送付するのが一般的かと思います。

投稿2016/07/14 02:41