徳丸 浩 @ockeghem 某サイト、パスワードリセットは(1)秘密の質問と答え、(2)前項が正答だとパスワードリセットのメールが送信される…というよくあるものだけど、(1)の正答の時点で既存パスワードが無効になる。攻撃者はパスワードを知らないからパスワードリセットを悪用するわけで、この仕様はよくないと思う 徳丸 浩 @ockeghem 本来のパスワードと、パスワードリセットでは、前者の方が確実。だから、優先度もパスワードの方が高い。パスワードリセットの途中段階で、パスワードを無効にしてどうするのよ 徳丸 浩 @ockeghem 『※「本メールに心当たりがない」「登録の覚えがない」などの場合、どなたかが誤ってお客さまのメールアドレスを入力した可能性があります。上記時間を過ぎますと当情報は自動的に削除されますのでご安心ください。』<いやいや、攻撃の可能性もあるから…自答的に削除で安心したら
![某サイトのパスワードリセット、パスワード変更機能を使った感想](https://cdn-ak-scissors.b.st-hatena.com/image/square/2fa594c4e31e12695c2abe2c50750b0c8ad998a8/height=288;version=1;width=512/https%3A%2F%2Fs.tgstc.com%2Fogp3%2Fab89c2c8ba8ebbe49fc4a56dfabdbbeb-1200x630.jpeg)