秘密の質問と答え

pal-adminで、パスワードの再発行するときにこの辺の実装をどうするかを考えてみた。一応、他のサイトを参考にしつつ考えて、秘密の質問は選択の中からも選べるし、自由に入力もできるようにした。サイトによっては、選択式しかないものもあったりで、しかも、その質問も「ペットの名前は?」とか、あまり秘密の質問とは言えない。ペットの名前だって、辞書で総当たりでできそうな気もするし。秘密の質問って、答えが本人しか想定できないようなものじゃないと意味がないと思うのだよね(どっかのサイトにも書いてあったような気がするけど)。というわけで、pal-admin の選択肢のやつは、「ペットといえば?」とか、漠然としたやつにしてみた(もちろん、ユーザーが指定するのも可能です)。あとは、秘密の答えは、MessageDigest をかけて、保存するようにしておいた。そのまま保存しておくと、管理ツールからまる見えになるから、それはまずいし。あとは、パスワード再発行依頼するときに、メールアドレスを入力するのだけど、無効なメールアドレスでも、エラーにならず、秘密の質問をしてくるようにした。いくつか、他のサイトを試したのだけど、登録されてないメールアドレスだと、エラーと言って教えてくれるから、それはそれで良くない気がするし。そんな感じで、いろいろと考えてみたりした。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です