脆弱性っていうならそもそも「忘れたパスワードをネット上で再設定できる」ことが巨大な脆弱性なわけじゃん
でも厳密な本人確認を要する複雑なやり方にしたら利便性がどーのって文句いうでしょうが
よくある「登録メアドにパスワード再設定用のURLが届く」方式もメール乗っ取られたらそのメアドで登録してるサービス根こそぎいかれるわけで
「絶対に忘れない質問」でワンクッションいれるのは次善の策じゃねーの?
Permalink | 記事への反応(0) | 16:24
ツイートシェア
11
