Computerworld米国版の記者と編集者は、3つのサービスのすべてで、自分自身や同僚のアカウントに「侵入」し、パスワードをリセットすることができた。パスワードを守る“とりで”は、アカウントのユーザー名と、母親の旧姓やペットの名前、最初に乗った車の名前など、いくつかのありふれた質問の1つへの答えしかなかった。

問題が発覚した今言及するのも格好わるいんだけど、この仕組みいかにもダメそうな仕組みだよね。

でも、質問に正確に答えるだけで、パスワード再設定できるんだね。想像以上なダメシステムだ。てっきり質問に正確に答えると、アカウント作成時に登録したメールアドレスに時限式の秘密のURLが届いて、24時間以内にアクセスすると、パスワードを再設定できるみたいな、初めに登録したメールアドレスを受信できるという認証を経て再設定できる物かと思っていた。(そういう仕組みのも実存すると思うし)

今まで、この仕組みを利用するという機会が無かったので、知らなかったのだけど、意外と適当に出来てる所があるんだね。

私もなんかこのパスワード再設定方式ダメそうだから秘密の質問に無関係な言葉設定したりした覚えがあるんだけど、その言葉覚えてないw。