新しいニトリはパスワードを平文で送ってこなくなったのか
6/23、新しくなった ニトリネット。以前は、パスワードの通知機能があり、パスワードを平文で送ってきていました。
![ニトリネット](https://i0.wp.com/pronama.jp/wp-content/uploads/2015/06/nitori-net.jpg?resize=943%2C614&ssl=1)
リニューアルでどうなったのか確認してみました。会員移行ではなく、新規にアカウントを作成しています。
パスワード問合わせ
「パスワード問合せ」ページがあります。必要な項目は、電話番号とメールアドレス(お客様 ID)。
![パスワード問合せ](https://i0.wp.com/pronama.jp/wp-content/uploads/2015/06/nitori1.png?resize=565%2C288&ssl=1)
メールの内容
メールを確認すると「仮パスワード」方式になったようです。
仮パスワードを発行した時点で、以前のパスワードは使えなくなります。そのため、仮パスワードの有効期限はありません。
![メール内容](https://i0.wp.com/pronama.jp/wp-content/uploads/2015/06/nitori2.png?resize=735%2C469&ssl=1)
私の感覚では、新しいパスワードを平文で送ってきているのと変わりないような気がします。
仮パスワードでログイン時の動作
ログインは、メールアドレスと仮パスワードでログインできます。
![ログイン画面](https://i0.wp.com/pronama.jp/wp-content/uploads/2015/06/nitori3.png?resize=347%2C229&ssl=1)
ログイン後は、パスワード変更が強制されます。変更をスルーできるサイトもあるんですが、新しいニトリネットでは無理そうでした。ここは良ポイントだと思います。
![パスワードの変更](https://i0.wp.com/pronama.jp/wp-content/uploads/2015/06/nitori4.png?resize=441%2C399&ssl=1)
おわりに
仮パスワードという言葉はあいまいで、いろいろな実装を見かけます。単にシステムが生成したずっと使えるパスワードをそう呼んでいるサイトもあり、仮パスワードだから問題ないとは言えません。
今回のニトリネットの内容を リセット後のパスワードをメール送信するパスワードリセット方式の注意点 | 徳丸浩の日記 で、推奨されている内容でチェックします。
- 仮パスワード方式とする(必須)→ ○(仮パスワードでログイン後すべての機能は使えない)
- パスワード変更をメールで通知する(必須) → ○
- 仮パスワードの有効期限を設ける(強く推奨) → ×
- 仮パスワード発行後も元のパスワードは有効とする(強く推奨) → ×
- 仮パスワードが有効な状態で、元パスワードでログインした場合は、仮パスワードをキャンセルして警告表示する(推奨) → ×
- パスワードリセットの前に秘密情報を要求する(推奨) → ○(電話番号)
以上です。