　7iDでは、あらかじめ登録したメールアドレス以外のアドレスを使ってパスワードを再設定できるようになっていました（現在は対応済）。パスワード再設定のメール送信に必要な情報は、「生年月日」「電話番号」「会員ID」（最初に登録したメールアドレス）で、これらの情報を知っている第三者なら、自分のメールアドレスにパスワード再設定メールを送り、任意のパスワードを設定できたのです。

「7payクレジットカード不正利用：第三者乗っ取りがあり得る致命的な2つの弱点」（Yahoo!ニュース、三上洋）

　通常、少なくともお金を扱うような重要なサービスでは、パスワード再設定機能をこのような仕様にすることはあり得ません。こうした設計のサービスの利用は控えることをお勧めします。

　この機会にパスワード再設定機能の存在から分かる認証の知識と注意点をご紹介します。パスワード再設定機能があるサービスの認証は、実はパスワード認証ではなく、メール認証なのです。メールを見ることができれば、パスワードを自由に変更できるからです。

　強引に解釈すれば、本来はメールで認証すればよいところを、「メールをわざわざ参照させるのは利便性が下がるから」とか、「パスワードだけで再設定ができなかったころの慣習が残っているから」という理由によってパスワードで代用しているといえます。

　したがって、パスワード認証の利用者はパスワードだけでなく「メールを閲覧できる環境」も守らなくてはいけません。メールサービスは大抵の場合、アクセスするためにパスワードを使います。（※1）このメールサービスにアクセスするパスワードこそ、強力（ランダム性が大きい）で他のサービスでは使っていないものにしておくべきです。メールを使うPCにも強力なログインパスワードを設定し、スマホにも必ずロックを掛けましょう。

※1：パスワードでアクセスできるメールサービスを利用している場合は、知識要素を利用した認証（知識認証）といえます。認証要素については過去記事を参照。

「二段階認証」とは？

前のページへ 1|2|3|4|5 次のページへ