パスワードをまったく管理しない運用
(2019/7/10)
新しいサービスに新規登録するとき、パスワード登録を要求されたら適当な長い文字列を登録し、どこにも保存せず忘れてしまうという運用をしている人の話を聞いた。サービスを継続的に利用しているときはパスワード入力は要求されないし、要求されたときはリセットして再登録すれば良いということらしい。
パスワードのリセットや再登録にはメールが利用されることが多い。メールがセキュアならば確かにこういう運用で大丈夫なのかもしれない。メールが乗っ取られたという話はあまり聞かないので、メールは恐らく現在でもかなりセキュアなのであろう。
こういう方針を採用する場合、しょっちゅうパスワードリセットが必要な場合は面倒であるが、最近のサービスでは一度ログインすればセッションが継続することがほとんどなので、パスワード入力を要求されることは滅多に無いのだそうである。なんとなく気持ち悪い気はするのだが、理にはかなっているのかもしれない。
しかしメールが認証の生命線になって大丈夫なのかしらん...? まぁ実際すでにそうなっているのではあるが
#ブログ 2019/7/10