1. パスワードリセット

パスワードを忘れても、リセットしてくれるので、メモしていないという話を徳丸さんが書いていた。

• どういうことなのか、気になったので、調べて見た。

• Apple ID のパスワードを変更する方法

  • https://support.apple.com/kb/HE36?viewlocale=ja_JP&locale=ja_JP

• twitter の場合：https://twitter.com/account/resend_password

登録してあるアドレス宛にメールでパスワードを「リセットするためのURL」を送ってくるようだ。

• 安全とは言えないという警報がなった。 (リセット申請は本人である必要はないとか)

Apple は間違え続けるとパスワードが無効にされて変更せざるを得なくなるのが迷惑だったような覚えがあります。-- tss 2012-10-08 08:40:54

パスワードロック攻撃ですか。難しい問題かも。

メールで通知が来るの安直過ぎて、X-<

2. メールで通知されるのは怖い

メールを覗き見される危険性はご存知か。

メールでパスワード(等価)情報を送ってくるようなサービスには重要な情報を持たせてはいけない。

• 簡単にパスワードリセットを許すサービスも同じ。

-- ToshinoriMaeno 2012-10-07 03:53:56

不思議なことに暗号化メールは使われていないらしい。

登録したメールが届く保証もない。(パスワードを忘れるようなひとが ...)

業者がどれくらいまじめかも怪しい。

メールを使ったいやがらせに使われる可能性がある。twitterには注意がきもある。

3. twitter DM は使えないのか

twitterはDMの内容をメールで送って来るのだったか。それは止めさせないと使えないな。

twitter のパスワードには使えない。

FBはいやがるかも。

4. 公開鍵の利用

登録時に公開鍵もいっしょに登録させておくのはどうなんですか。

• 公開鍵も個人情報?

パスワードは忘れても、公開鍵をなくすことはないだろう。

• パスワードも自分で暗号化して管理しておけばすむ? ごもっとも。

-- ToshinoriMaeno 2012-10-07 06:19:23

5. 郵送

メールよりは安全ではないか。 (金融機関はほぼ郵送。対面確認も併用)

• b-wind, 徳丸両氏に感謝。

住所を教えるのはいやというのはどういうサービスを使っているのか。

• そういうひとは電話(連絡)もダメなんだろうな。

-- ToshinoriMaeno 2012-10-07 12:25:21

6. ショートメッセージサービス（SMS）

携帯電話会社の運営するサービスでは使われているとのこと。

• 自社のサービスについてだけ。郵送との選択か。

7. アカウント放棄

忘れるようなパスワードなら、アカウントごと捨てるのでいいではないか。

8. 利用側でのパスワード忘れ対策

こういうtweetをしたひと(@hsoyn)もいますが、

サービス提供者は 「パスワードを忘れるなら、自分で工夫しろ」 とは言わないと思います。
ユーザが逃げてしまうので... 

これくらいで利用者が逃げるようなサービスには「その程度の価値しかない」と思われているだけでしょう。

8.1. ブラウザに記憶

これが使い勝手もいい。

• 不良があって、一括で盗まれるかもしれないが。

9. IC カード認証

本当に重要なら、オフラインで保存。必要なときにだけ取り出す。

-- ToshinoriMaeno 2012-10-07 12:29:56