パスワードの管理

だいたい4年？ぐらいweb屋のアルバイトしてて、その時にもパスワードの管理には頭を痛めた記憶があり、現在も頭を痛めています。

現在のwebサービス（気づいた所）だと、パスワード紛失した場合、メールドレスとユーザ名を指定したら、現存のパスワードもしくはパスワード変更フォームのURLを、そのメールアドレスに送ります。そしてユーザはパスワードをメモしたり、パスワードを変更します。

ただ、パスワード変更を使っている所ってSunDeveloperぐらいのような気がする。つまり、他の所はパスワードを生で持っているんだと思う、あまり自身無いけど。

SSL使ってるからユーザが入力したパスワードが盗聴される危険性は少ない、とは思えるけどサーバクラックされたらどうするよ。と言うのは考えているのかなぁ・・・

と言う事を、なかじまさんがおっしゃっている

最終的にはKerberosみたいに、現在の時間をシード値にするはめになるのかしら。でもそうすると、クライアント側とサーバ側の時間が合って無いとダメな訳で、それが一番のネックに・・・