先日のエントリパスワードリマインダが駄目な理由にて、現在のパスワードをメール送信する「パスワードリマインダ」がパスワードリセット方式に比べてリスクがある(リスクのコントロールが弱い)という説明をしました。その際に説明したパスワードリセット方式は、パスワード変更の画面URLをメール送信するというものでしたが、もう一つのパスワードリセット方式としては、サイト側でパスワードをリセットして、リセット後のパスワードをメール送信するという方式もあります。このエントリでは、後者の仕様上の注意点について説明します。 とあるサイトのパスワードリセット方式 あるサイトのパスワードリセットの仕様を確認したところ下記の通りでした。 パスワードリセット画面では、ユーザIDとメールアドレスを入力する ユーザIDとメールアドレスが共に該当するアカウントがないとエラーになる サイト側でパスワードがリセットされ、リセット後
![リセット後のパスワードをメール送信するパスワードリセット方式の注意点](https://cdn-ak-scissors.b.st-hatena.com/image/square/513a460a8f9d9297fa7fd5c88e78525a95e15791/height=288;version=1;width=512/https%3A%2F%2F3.bp.blogspot.com%2F-W47gNFpnFOY%2FUZLMLpu0M4I%2FAAAAAAAAGIo%2FvhEbsz0-g1U%2Fw1200-h630-p-k-no-nu%2Fpassword-reset2.png)