某サイトのパスワードリセット、パスワード変更機能を使った感想徳丸 浩 @ockeghem 某サイト、パスワードリセットは(1)秘密の質問と答え、(2)前項が正答だとパスワードリセットのメールが送信される…というよくあるものだけど、(1)の正答の時点で既存パスワードが無効になる。攻撃者はパスワードを知らないからパスワードリセットを悪用するわけで、この仕様はよくないと思う 2013-05-23 07:44:50 徳丸 浩 @ockeghem 本来のパスワードと、パスワードリセットでは、前者の方が確実。だから、優先度もパスワードの方が高い。パスワードリセットの途中段階で、パスワードを無効にしてどうするのよ 2013-05-23 07:50:48 徳丸 浩 @ockeghem 『※「本メールに心当たりがない」「登録の覚えがない」などの場合、どなたかが誤ってお客さまのメールアドレスを入力した可能性があります。上記時間を過ぎますと当情報は自動的に削除されますの
