新しいニトリはパスワードを平文で送ってこなくなったのか
6/23、新しくなった ニトリネット。以前は、パスワードの通知機能があり、パスワードを平文で送ってきていました。
リニューアルでどうなったのか確認してみました。会員移行ではなく、新規にアカウントを作成しています。
パスワード問合わせ
「パスワード問合せ」ページがあります。必要な項目は、電話番号とメールアドレス(お客様 ID)。
メールの内容
メールを確認すると「仮パスワード」方式になったようです。
仮パスワードを発行した時点で、以前のパスワードは使えなくなります。そのため、仮パスワードの有効期限はありません。
私の感覚では、新しいパスワードを平文で送ってきているのと変わりないような気がします。
仮パスワードでログイン時の動作
ログインは、メールアドレスと仮パスワードでログインできます。
ログイン後は、パスワード変更が強制されます。変更をスルーできるサイトもあるんですが、新しいニトリネットでは無理そうでした。ここは良ポイントだと思います。
おわりに
仮パスワードという言葉はあいまいで、いろいろな実装を見かけます。単にシステムが生成したずっと使えるパスワードをそう呼んでいるサイトもあり、仮パスワードだから問題ないとは言えません。
今回のニトリネットの内容を リセット後のパスワードをメール送信するパスワードリセット方式の注意点 | 徳丸浩の日記 で、推奨されている内容でチェックします。
- 仮パスワード方式とする(必須)→ ○(仮パスワードでログイン後すべての機能は使えない)
- パスワード変更をメールで通知する(必須) → ○
- 仮パスワードの有効期限を設ける(強く推奨) → ×
- 仮パスワード発行後も元のパスワードは有効とする(強く推奨) → ×
- 仮パスワードが有効な状態で、元パスワードでログインした場合は、仮パスワードをキャンセルして警告表示する(推奨) → ×
- パスワードリセットの前に秘密情報を要求する(推奨) → ○(電話番号)
以上です。