なぜパスワードのリセットは重要なのか?
平均的なアメリカ人のメールアドレスには約130件のアカウントが登録されており、ユーザーあたりのアカウント数は 5年ごとに倍増しています。このアカウント数の大幅な増加は、ユーザーがますます多くのパスワードを使用していることを意味し、時としてパスワードを忘れてしまうことは避けられません。
ユーザーの 58% がパスワードを頻繁に忘れることがあると回答し、平均的なインターネット ユーザーは、年間約 37通の「パスワードを忘れた場合」というメールを受け取ります。
こうした現実のために、どのアプリでもパスワードのリセットが必要になります。しかし、良質なパスワードのリセットプロセスを構築するということは、単にセキュリティの質問をするということではありません。パスワードリセットプロセスがカスタマーにとって難しすぎると、顧客はそれを理由にサービスを利用することをやめてしまうでしょう。
良いリセットプロセスとはどんなものでしょう?
良いパスワードリセットプロセスの条件は次の2つです。
- カスタマーの手間を最小限に押さえる。パスワードをリセットするのに1分以上時間がかからないようにし、メールアドレスなど、カスタマーが入力することを拒まない情報のみを要求する。
- そうすることで、カスタマー情報の安全を確保できます。複数のログイン失敗に対する予防策を提供、そして安全なチャンネルのみを経由して情報を送信。
一般的にEメールがパスワードのリセットに多く使われているのは、こうした両方の基準を満たしているからです。メールアドレスは素早く簡単に入力できるので、手間を最小限に抑え、カスタマーしか受信箱にアクセスできないため、情報を保護することができます。
パスワードのリセットを正しく行うのが非常に難しいのはなぜか?
- セキュリティの質問 – 変更の無い情報は簡単に入手できます。どの学校に行ったか、母親の旧姓、ペットの名前でさえ、インターネット上のどこかで入手可能で、攻撃者に知られる可能性があります。
- プレーンテキストのパスワード – パスワードをリセットする代わりに、元のパスワードを顧客に送り返すサイトもありますが、これは高い脆弱性となります。パスワードをプレーンテキストで送信するには、パスワードをプレーンテキストで保存する必要があります。つまり、攻撃される可能性が高くなります。
- エラーメッセージ - メールアドレスが登録されている、いないを、アプリケーションが表示すると、攻撃者はカスタマーがアカウントを持っていることを潜在的に知ってしまう可能性があります。これは、カスタマーにとって不利な情報を、もう1つ与えてしまうことになります。
- 不必要な情報が必要 – セキュリティは、使いやすさとのバランスをとらなければいけません。カスタマーに写真によるID を求めることは安全な方法ではありますが、カスタマーエクスペリエンスにおける総合的な効果はマイナスです。
Auth0がパスワードのリセットをスムーズにする方法
- お客様を安全に登録するシステム
- 顧客情報を安全に保管するためのシステム
- お客様がリセット機能にアクセスするための、直感的なユーザーインターフェース
- リセット機能
- パスワードのリセットを送信する電子メール自動化システム
Auth0 Lockを使用すると、上記のすべてを安全な方法で行うことができます。Auth0のフレームワーク上に構築されるため、すべてが御社のために構築されます。Auth0ロックは、最も簡単なリセットプロセスと最高水準のセキュリティを兼ね備えています。リセットプロセスは次のようになります。
パスワードを忘れたお客様は、「パスワードを忘れた」ボタンをクリックするだけで、この画面に移動します。
重要 :[ダッシュボード] > [アカウント設定] > [詳細設定] に移動して、[パスワードの変更フロー v2] の項目が有効になっているかどうかを確認してください。有効になっている場合は、このパスワードリセッフローにロックバージョン9以降を使用してください。
電子メールを入力すると、次のバナーが表示されます。
メールアドレスがアカウントに登録されていない場合でも、バナーが表示されます。つまり、攻撃者は、特定のカスタマーがアカウントを持っているかどうかを、別のメールを使って確認することができないということです。
カスタマーの受信トレイには、次のようなメールが届きます。
このワンタイムパスワードリンクは、クリックを1回のみ必要とし、パスワードがプレーンテキストで表示されないようにします。リンクをクリックすると、次の画面に移動します。
