分野：テクノロジ系
中分類：セキュリティ
小分類：情報セキュリティ

パスワードを忘れたユーザーを救済するための仕組みをパスワードリマインダといいます。パスワードリマインダを設けることでユーザーの利便性は高まりますが、認証の機会が増えることでセキュリティが弱くなるため仕組みや設置の可否を慎重に検討する必要があります。

IPAのセキュリティプログラミング講座では、パスワードの再設定・再発行手続きとして以下の手順を推奨しています。(要求されるセキュリティレベルによっては一部の手続きを簡略化可能)

1. パスワードリマインダのWebページ上（https:）で1回限り有効なキー(短め)をユーザーに発行する。
2. 1回限り有効な別のキー(長め)を含むURL（https:）を、ユーザーがあらかじめ登録している電子メールアドレス宛に送信する。
3. ユーザーにそのURLのWebページにアクセスしてもらい、先ほどのキーを入力してもらう。
4. キーが照合できたらパスワードの再設定あるいは再発行を行う。
5. 一定回数以上照合に失敗したら 2つのキーは無効にする(ロックアウト機能)。

メールのあて先は「あらかじめ登録済みのメールアドレス」、送信する内容は「再設定ページのURL」の組合せが適切なので、正解は「イ」です。

• 受信者のメーラーがメールの暗号化を行うS/MIMEやPGPに対応していなかったり、HTTP接続でないWebメールサービスを利用する際にはメールの内容が盗聴される恐れがあります。またパスワードが記載されたメールの取扱い方法によっては、第三者に漏れてしまう可能性も考えられます。このためパスワードそのものをメールで送ることは危険です。
• 正しい。あらかじめ登録済みのメールアドレス宛に、一時的なパスワード再設定ページへのURLを送るのが安全な方法です。
• 攻撃者が任意のメールアドレスを指定できてしまうため危険です。
• 攻撃者が任意のメールアドレスを指定できてしまうため危険です。