高木浩光＠茨城県つくば市 の日記(id:HiromitsuTakagiさん)の11/23日分にパスワードリマインダの話が出ていた。
個人的にはリマインダなんて要らんと思うのだが、世の中には忘れんぼさんが多いと見えてユーザのニーズは高いらしい。
そういえば、リマインダがついているシステムはなぜか「リマインダを使用しない」という選択をできるものがほとんど無い。大抵、強制的に設定させられる。これも嫌だ。設定したからには管理せねばいかんではないか。
といいつつ、リマインダのお世話になった事は一度ならずあったりするのだが。(笑)

パスワードリマインダとのお付き合いの仕方
リマインダはマニュアル通りに使用しない事でセキュリティ強度を上げる事ができる。
どういう事かというと、リマインダの説明には「設問を選んで、その設問に対する答えを登録する」となっている訳だが、そこで「設問に対する答え」を書かなければいいのである。
例えば、選択した設問の次の設問の答えを登録する。これだけでも見破られる可能性はぐっと低くなる。なぜなら、攻撃する側はリマインダの正しい使い方に従って攻撃してくるから。(笑)
ごく単純な事なんだけどこういう話って聞いた事がないんだよなぁ。

あ、昔やったプロジェクトを思い出した。
クリティカルな情報を扱うシステムだったので、最初の設計ではパスワードの再発行は電話での本人確認の上、郵送するという仕様だったのだが、開発も半ばのあるミーティングで配布された資料を眺めてたらパスワードリマインダに関する仕様が入っていて
( Д ) ゜゜
となった記憶があるなぁ。結局、リマインダ機能つきでサービスインしたらしいけど。