アカウント名:
パスワード:
直ちに修正せよ。
「仮パスワード」はなぜ使い続けてはだめなのか?という話と同じですね。
簡単に言うと、「仮パスワード」は「発行したもの」という扱いになります。サービス側がユーザーに何かを発行した場合は、その証跡を残さねばならないため、「サービス側は永遠に生パスワードを残さなければならない」ことを意味します。ユーザー側が受け取ってない!覚えられなかった!となる可能性があるためです。
それと、サービス側が発行したパスワードがたまたま不快な単語を含む場合…例えば「FxckYou」とか…、ユーザーは拒否できるようにしなければなりません。何を不快に感じるかは人それぞれなので、どんなに
あなたの言い分だと、発行したワンタイムパスワードも記録しておくことになりますね。そんなこと必要ですか?本当にそれが安全に結びつきますか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
ユーザーがパスワードを自分で設定できることが脆弱性 (スコア:0)
直ちに修正せよ。
Re: (スコア:2, 興味深い)
「仮パスワード」はなぜ使い続けてはだめなのか?という話と同じですね。
簡単に言うと、「仮パスワード」は「発行したもの」という扱いになります。
サービス側がユーザーに何かを発行した場合は、その証跡を残さねばならないため、
「サービス側は永遠に生パスワードを残さなければならない」ことを意味します。
ユーザー側が受け取ってない!覚えられなかった!となる可能性があるためです。
それと、サービス側が発行したパスワードがたまたま不快な単語を含む場合
…例えば「FxckYou」とか…、ユーザーは拒否できるようにしなければなりません。
何を不快に感じるかは人それぞれなので、どんなに
Re:ユーザーがパスワードを自分で設定できることが脆弱性 (スコア:0)
あなたの言い分だと、発行したワンタイムパスワードも記録しておくことになりますね。
そんなこと必要ですか?
本当にそれが安全に結びつきますか?