1. パスワードリセット

パスワードを忘れても、リセットしてくれるので、メモしていないという話を徳丸さんが書いていた。

登録してあるアドレス宛にメールでパスワードを「リセットするためのURL」を送ってくるようだ。

Apple は間違え続けるとパスワードが無効にされて変更せざるを得なくなるのが迷惑だったような覚えがあります。-- tss 2012-10-08 08:40:54

パスワードロック攻撃ですか。難しい問題かも。

メールで通知が来るの安直過ぎて、X-<

2. メールで通知されるのは怖い

メールを覗き見される危険性はご存知か。

メールでパスワード(等価)情報を送ってくるようなサービスには重要な情報を持たせてはいけない。

-- ToshinoriMaeno 2012-10-07 03:53:56

不思議なことに暗号化メールは使われていないらしい。

登録したメールが届く保証もない。(パスワードを忘れるようなひとが ...)

業者がどれくらいまじめかも怪しい。

メールを使ったいやがらせに使われる可能性がある。twitterには注意がきもある。

3. twitter DM は使えないのか

twitterはDMの内容をメールで送って来るのだったか。それは止めさせないと使えないな。

twitter のパスワードには使えない。

FBはいやがるかも。

4. 公開鍵の利用

登録時に公開鍵もいっしょに登録させておくのはどうなんですか。

パスワードは忘れても、公開鍵をなくすことはないだろう。

-- ToshinoriMaeno 2012-10-07 06:19:23

5. 郵送

メールよりは安全ではないか。 (金融機関はほぼ郵送。対面確認も併用)

住所を教えるのはいやというのはどういうサービスを使っているのか。

-- ToshinoriMaeno 2012-10-07 12:25:21

6. ショートメッセージサービス(SMS)

携帯電話会社の運営するサービスでは使われているとのこと。

7. アカウント放棄

忘れるようなパスワードなら、アカウントごと捨てるのでいいではないか。

8. 利用側でのパスワード忘れ対策

こういうtweetをしたひと(@hsoyn)もいますが、

サービス提供者は 「パスワードを忘れるなら、自分で工夫しろ」 とは言わないと思います。
ユーザが逃げてしまうので... 

これくらいで利用者が逃げるようなサービスには「その程度の価値しかない」と思われているだけでしょう。

8.1. ブラウザに記憶

これが使い勝手もいい。

9. IC カード認証

本当に重要なら、オフラインで保存。必要なときにだけ取り出す。

-- ToshinoriMaeno 2012-10-07 12:29:56