-
- いいね!2
徳丸 浩
@ockeghem
某サイト、パスワードリセットは(1)秘密の質問と答え、(2)前項が正答だとパスワードリセットのメールが送信される…というよくあるものだけど、(1)の正答の時点で既存パスワードが無効になる。攻撃者はパスワードを知らないからパスワードリセットを悪用するわけで、この仕様はよくないと思う
2013-05-23 07:44:50
徳丸 浩
@ockeghem
本来のパスワードと、パスワードリセットでは、前者の方が確実。だから、優先度もパスワードの方が高い。パスワードリセットの途中段階で、パスワードを無効にしてどうするのよ
2013-05-23 07:50:48
徳丸 浩
@ockeghem
『※「本メールに心当たりがない」「登録の覚えがない」などの場合、どなたかが誤ってお客さまのメールアドレスを入力した可能性があります。上記時間を過ぎますと当情報は自動的に削除されますのでご安心ください。』<いやいや、攻撃の可能性もあるから…自答的に削除で安心したら駄目だから…
2013-05-23 07:53:17
徳丸 浩
@ockeghem
パスワードリセットのメールなんだけど、切迫感ないなぁ > ※本メール内容にお心あたりのない場合は、お手数ですが、下記へご連絡をお願いいたします。株式会社 ○○○ ●○○○へのお問合わせ URL (※会社全体の問い合わせ) ●○○○ウェブサイト個人情報保護方針 URL
2013-05-23 07:55:38
徳丸 浩
@ockeghem
こ、これは…>『パスワードのご変更を承りましたので、お知らせいたします。 ■登録情報の確認・変更 URL 上記URLより、変更内容のご確認をお願いいたします。 (ログインが必要です)』<これ、ニセメール出したらフィッシングに使えるね。メールで来たURLにログインさせている…
2013-05-23 08:05:05
徳丸 浩
@ockeghem
パスワード変更受けたまりましたメールで書くべきことは、 (1)あなたはパスワードを変更しましたか? (2)変更された場合は確かに承りました (3)変更した覚えがない場合は不正利用の可能性があるため○○宛にお電話下さい。電話ができない場合は、○○あてにメール下さい …でしょ
2013-05-23 08:12:05