パスワードの管理
だいたい4年?ぐらいweb屋のアルバイトしてて、その時にもパスワードの管理には頭を痛めた記憶があり、現在も頭を痛めています。
現在のwebサービス(気づいた所)だと、パスワード紛失した場合、メールドレスとユーザ名を指定したら、現存のパスワードもしくはパスワード変更フォームのURLを、そのメールアドレスに送ります。そしてユーザはパスワードをメモしたり、パスワードを変更します。
ただ、パスワード変更を使っている所ってSunDeveloperぐらいのような気がする。つまり、他の所はパスワードを生で持っているんだと思う、あまり自身無いけど。
SSL使ってるからユーザが入力したパスワードが盗聴される危険性は少ない、とは思えるけどサーバクラックされたらどうするよ。と言うのは考えているのかなぁ・・・
と言う事を、なかじまさんがおっしゃっている
最終的にはKerberosみたいに、現在の時間をシード値にするはめになるのかしら。でもそうすると、クライアント側とサーバ側の時間が合って無いとダメな訳で、それが一番のネックに・・・