パスワードリセットの話 [戯言]
(注意)このブログの内容は、2019年7月に途中まで書いて、そのまま公開もされず放置されていたものをサルベージしたものです。
1年位前(注:2019/07当時の1年前)のことになりますが、とあるシステムに「パスワードをリセット(再発行)する機能を追加してほしい」という話がありました。
今までは問い合わせ窓口で手動で対応していたのですが、コスト(人件費)削減のためシステムしたいということです。
要件を確認すると「(ログインパスワードを忘れてしまったユーザのために)ユーザIDとメールアドレスを入力してボタンを押すと、入力したメールアドレス宛に新しいパスワードを送る」となっています。
いま話題のなんとかPayと同じ方式です。
いや、こっちはユーザIDは連番だし、誕生日も必要ないので、もっとアレです。
速攻で却下しましたけど。
で、何故こんなアホ仕様を考えたのか聞いてみました。 登録してあるメールアドレスに再発行メールを送ったらダメなのか、と。
このシステムは、取引先向けのポータルサイトなので、ユーザは全て法人です。
そして、大抵各社にはシステムを扱う担当者がいるのですが、この担当者が何回も交代していていると「登録してあるメールアドレスがどれなのか分からないので、再発行のメールが誰に届くのかも分からない」という事態は困る、現担当者に確実にメールが届くようにしなければならないのだそうです。
とはいえ、他のユーザのパスワードを知ることが出来るのは問題なので諦めて貰おうとしたのですが、諦めきれないようで様々なアイデアを持ってきました。
「登録してあるメールアドレスも入力してもらって、一致したら送ると言う方法はどうだ?」
「ついさっき、『登録してあるアドレスが分からないので、送信先を入力させるのだ』って言ってませんでしたっけ?」
「だったら、パスワードで本人確認…」
「そもそもパスワードが分からなくなったから再発行するための機能でしょうが」
「それなら、入力したメールアドレスと登録してあるメールアドレスで、ドメインが一致したらメールを送るという方法なら良いだろう」
「(内部犯行………)」
同じ会社の人になら情報が漏れても漏洩には当たらないという
ところが、gmailとか携帯電話のアドレスを登録している人(会社)がいるので、総当りで狙われるとアウトです。
…………
と、ここまでが当時書いていた内容。
結局、どういう仕様になったんだったかなぁ…
ブラ除外リストにgmailとかを登録しておいて、そこには送らないという案も出た気がするけど…
コメント 0