アカウント名:
パスワード:
>任意のメールアドレスにパスワード再設定用のURLを送信できる
秘密の質問自体微妙だなーって感じなのに、登録したメールアドレスに飛ばすんじゃなくて、任意のメールアドレスで受け取れるのかよ。それはやばい。いや、確かにメールアドレスも変わってしまって困るケースというのはあるのだけれど、お金が絡むものなんだから、その場合は店舗で身分証明書確認とか、実住所に書面で送るとかで我慢してもらうべきだと思う。
結局手間で担保するしか無いんですかね時間だけでも効果あるか?
別に本人確認するのに手間はいらんよ。マイナンバーカードにトークンを送って署名させるとかでもいい。ただ「本人の変わらない特徴だから」という理由で誰でも知っている偽造の容易な情報をその代用にするのには問題がある。
手間が軽いと攻撃、研究されやすくクラックされやすいから最後の手段的な本人確認はをかけさせた方が良いのかな、対攻撃だけ考えるならその手間は時間をかけさせるだけでも効果あるのかなぁ、ってことです
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
「任意のメールアドレス」はやばい (スコア:0)
>任意のメールアドレスにパスワード再設定用のURLを送信できる
秘密の質問自体微妙だなーって感じなのに、登録したメールアドレスに飛ばすんじゃなくて、任意のメールアドレスで受け取れるのかよ。それはやばい。
いや、確かにメールアドレスも変わってしまって困るケースというのはあるのだけれど、お金が絡むものなんだから、その場合は店舗で身分証明書確認とか、実住所に書面で送るとかで我慢してもらうべきだと思う。
Re:「任意のメールアドレス」はやばい (スコア:2)
結局手間で担保するしか無いんですかね
時間だけでも効果あるか?
Re: (スコア:0)
別に本人確認するのに手間はいらんよ。マイナンバーカードにトークンを送って署名させるとかでもいい。
ただ「本人の変わらない特徴だから」という理由で誰でも知っている偽造の容易な情報をその代用にするのには問題がある。
Re:「任意のメールアドレス」はやばい (スコア:2)
手間が軽いと攻撃、研究されやすくクラックされやすいから
最後の手段的な本人確認はをかけさせた方が良いのかな、
対攻撃だけ考えるならその手間は時間をかけさせるだけでも効果あるのかなぁ、
ってことです