2007年度 経済情報処理

Tips: パスワード リマインダー(password reminder)

1. 神奈川大学統合認証基盤でのパスワードリマインダー

神奈川大学統合認証基盤で発行・運用している利用者情報(以下、MNSアカウントと略記)は、通常、ユーザーIDとパスワードで利用者を特定する。学生の場合ユーザーIDは学籍番号をベースに作られているため、ユーザーIDを忘れてしまうことはまずないだろうが、パスワード忘れは割とよくある事故。そんなときにパスワードを新しいものに変更できるシカケがパスワードリマインダー。

1.1 パスワードリマインダーの登録

図1に示すように、パスワードリマインダーを設定するためには、現在有効なユーザーIDとパスワードの両方を知っている必要がある。つまり、コンピューター側からみて、「正当な利用者である」ということが確認できている状態で、その利用者に対応するパスワードリマインダーを登録できるということになる。

当然のことながら、パスワードが分からなくなってからパスワードリマインダーを登録しようとしても不可能なので、パスワードを覚えている自信がない人はパスワードリマインダーを早めに登録しておくと吉。

図1. パスワードリマインダーの登録

1.2 パスワードリマインダーを使ったパスワード変更

パスワードを忘れてしまったときには、図2のようにパスワードリマインダーの質問をシステム側から表示して、それに正しく答えれば「この人は正しい利用者だ」と判断して新しいパスワードを付けられるようにする。

図2. パスワードリマインダーを使ったパスワード変更の流れ

1.3 パスワードリマインダーの安全性

MNSアカウントのパスワードリマインダーでは、秘密の質問をシステム側から表示してくれるので当てずっぽうで答えを入力することが可能である。このようなシステムでは、他の人が推測可能な質問を秘密の質問として設定してしまうことは、とてつもなく危険なことである。このような危険な設問の例としてよく挙げられるものは、出身地、生年月日やペットの名前などがある。ここで例に挙げた「好きな食べ物」なども、身近な人なら比較的容易に当てられる可能性が高い、すなわち不適切な質問と言えるだろう。

秘密の質問に対する回答がシステムに記録されているものと一致した場合、システムは実際にアクセスしているのが誰であってもリマインダーを設定した人であると判断する。たとえば、Malloryが Aliceになりすましてパスワードリマインダーを使い、Aliceのパスワードを勝手に変えることも図3のように可能になる。

図3. 悪党(Mallory)が Aliceになりすましてパスワードを勝手に変える

1.4 パスワードリマインダーの利用

いずれも、MNSのWebサーバから利用できる