パスワードの意味がない!!!パスワードリマインダの危険性 Part1 » とりあえず9JPこのパスワードリマインダ、新規登録時に「秘密の質問」を複数の選択肢の中から選択し、その質問に対する回答をユーザが入力するといった形態を取る事が多い。 で、ユーザがパスワードを紛失してしまった場合は、その秘密の質問を表示し、新規登録時にユーザが回答した内容と同一であれば、パスワードの再設定画面に進める、といった仕組みなのだけど・・・ この予め用意されている質問というのがお粗末すぎる。 例を紹介すると ・電話番号の下四桁は? ・好きなアーティストは? ・貴方の母親の旧姓は? ・貴方の星座は? ・ペットの名前は? といった感じ。 恐ろしい事に、いわゆる大手のWEBサービスでも、これらの秘密の質問に対する回答と、生年月日などが一致した場合、パスワードの再設定画面に進んでしまう。 パスワードを知らずとも、悪意を持った第三者が、簡単な「秘密の質問」に回答する事でパスワードを変更できてしまうのであれば、
