R部長: |
指摘(i)と(ii)への対応は,具体的にどうするのか。
|
S君: |
はい。利用者からメルマガ購読の申込みを受けた場合,電子メールアドレスの入力を確認しただけで,すぐにメルマガを配信するのではなく,仮設定が完了したことと,本設定用のホームページのURL及び〔6〕照合用の文字列を記載したメッセージを,入力された電子メールアドレスあてに送信します。次に,利用者がそのURLにアクセスし,電子メールアドレスと照合用の文字列を入力して,設定を完了するように変更します。この方法によって,設定画面に設定結果を表示しないようにできます。また,解除する場合は,申し込む場合と同様な方法を採ることもできますが,今回は,〔7〕利用者の購読解除を簡単にしたいので,現在のメルマガ購読の解除設定方法のままで,設定結果の表示だけを行わないように変更しようと思います。この変更に伴って,図3中の下線〔3〕の仕組みを追加します。
|
R部長: |
なるほど。指摘(iii)では,会員IDのパスワードをハッシュ化した上で保存しておくべきという指摘をされているが,パスワードをハッシュ化した上で保存しておく場合,どのようにパスワードを認証できるのか。
|
S君: |
[ a ]と[ b ]を照合することによって,顧客が入力したままのパスワード,つまりハッシュ化前のパスワードを削除してもパスワード認証ができます。しかし,ハッシュ化前のパスワードを削除する場合は,〔8〕パスワードを忘れた顧客への対応方法を変更する必要があります。
|
R部長: |
そうか。指摘(v)では,社員IDの初期パスワードが変更されていないことが指摘されている。この対策はどうするのかね。
|
S君: |
はい。〔9〕パスワードの安全な運用管理の観点から,初期パスワードは1週間以内に変更させたいですね。また,その後も繰返し3か月以内にパスワードを変更させるようにすべきです。社員ID管理サーバでは,パスワードの再利用を禁止すること,パスワードの有効期限を3か月にすること,及び初回ログオン時に強制的にパスワードを変更させることはできます。しかし,初期パスワードを設定してから,社員が必ず1週間以内にログオンするとは限らないので,1週間以内にログオンするように規則を定めたいと思います。
|
R部長: |
なるほど。それでは,早速対応に取り掛かってくれ。
|