最近、他所で漏れたID、パスワードの組みで不正アクセスが試みられるという事象が散見されるとうことで おそらくはそれさえも平凡な日々: パスワードはサーバー側で生成したほうが良いんじゃないかという話 なんてポストがあったので、以前同僚が話してたアイデアを書いてみる。
そもそも、パスワードなんて覚える気がない
端から覚える(書き留める)気がない人がいるらしい。そしてブラウザに覚えさせたり、セッションが長かったりして、最初に設定して以降入力する機会がないので忘れる。
メールでリセットできる
でも、メールアドレスとか入力してリセットすれば問題ない。忘れてもまたリセットすれば良いのです。
じゃあ全部ワンタイムパスワードで
「忘れたらリセット」を繰り返すのであれば、それをワンタイムパスワードにすれば良いのではないか。 ということで、ほぼ毎日アクセスするような状況であれば切れない程度にセッションを長めに設定して cookie に持たせ、切れたら一度だけ使えるパスワードをメールで送るようにすればパスワードをなくせそうです。もちろん Gmail は2要素認証にしてますよね? 私は、前職がISPでメールサービスも提供していたのでメールのパスワード忘れたのをメールでリセットなんてできないじゃんっていうのがあって、こういう発想はなかったけど、軽いサービスだったらありなんじゃないの?と思ったのでした。 # あー、Ultrabook のキーボードの “i” が入力しづらくてイライラする・・・ # アイソレーションキーボードって何も手出しができない・・・