情報セキュリティ(パスワードを忘れた場合)

パスワードを忘れた場合、メールアドレスやその他情報を送ることにより、現在のパスワードをメールで送信する機能(パスワードリマインダ)があります(かなりのサイトで行っている)が、これをサービスというかは疑問?(理由は後述)です。なぜならば、
①現在のパスワードをメールで送信した場合のリスク(盗聴される運用リスク)と
②そもそも、パスワードが原データのまま保存・管理されている証拠(例えば、ハッシュ値で保存・管理すべき)だからです。
安全性を考えると、現在のパスワードはリセットして、再設定を促すことです。
及び結果連絡は「文書」で送付です(メールでの送信は、盗聴されるリスク残ったままです)。
利用者は、すんなりと、メールでパスワードが送信されてくるのはサービスと捉えず、管理がきちんとされていないと捉えるべきです。
マキコーポレーション「情報セキュリティノーティス」より

コメント

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

ウェブページ

最近のコメント

2019年10月
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31    

カテゴリー

  • 日記・コラム・つぶやき
  • 映画・テレビ
  • 生活
無料ブログはココログ