神奈川大学統合認証基盤で発行・運用している利用者情報(以下、MNSアカウントと略記)は、通常、ユーザーIDとパスワードで利用者を特定する。学生の場合ユーザーIDは学籍番号をベースに作られているため、ユーザーIDを忘れてしまうことはまずないだろうが、パスワード忘れは割とよくある事故。そんなときにパスワードを新しいものに変更できるシカケがパスワードリマインダー。
神奈川大学統合認証基板でのパスワードリマインダーは、「既定の問(3種類から1つ選ぶ)」「問に対する答え」「登録済みメールアドレスに対するアクセス権限」で本人認証を行い、パスワードの変更を可能にするシカケ。図1に示すように、パスワードリマインダーを設定するためには、現在有効なユーザーIDとパスワードの両方を知っている必要がある。つまり、コンピューター側からみて、「正当な利用者である」ということが確認できている状態で、その利用者に対応するパスワードリマインダーを登録できるということになる。
当然のことながら、パスワードが分からなくなってからパスワードリマインダーを登録しようとしても不可能なので、パスワードを覚えている自信がない人はパスワードリマインダーを早めに登録しておくと吉。
図1. パスワードリマインダーの登録パスワードを忘れてしまったときには、図2のようにパスワードリマインダーの質問をシステム側から表示して、それに正しく答えれば「この人は正しい利用者だ」と判断して新しいパスワードを付けられるようにする。
図2. パスワードリマインダーを使ったパスワード変更の流れ
MNSアカウントのパスワードリマインダーでは、秘密の質問をシステム側から表示してくれるので当てずっぽうで答えを入力することが可能である。このようなシステムでは、他の人が推測可能な質問を秘密の質問として設定してしまうことは、とてつもなく危険なことである。このような危険な設問の例としてよく挙げられるものは、出身地、生年月日やペットの名前などがある。ここで例に挙げた「好きな食べ物」なども、身近な人なら比較的容易に当てられる可能性が高い、すなわち不適切な質問と言えるだろう。
秘密の質問に対する回答がシステムに記録されているものと一致した場合、システムは実際にアクセスしているのが誰であってもリマインダーを設定した人であると判断する。たとえば、Malloryが Aliceになりすましてパスワードリマインダーを使い、Aliceのパスワードを勝手に変えることも図3のように可能になる。
図3. 悪党(Mallory)が Aliceになりすましてパスワードを勝手に変える
いずれも、MNSのWebサーバから利用できる
©2008, Hiroshi Santa OGAWA
このページにアダルトコンテンツ、XXXコンテンツ類は一切含まれていません。暴力反対.