web-dev-qa-db-ja.com

パスワードのリセットリンクの有効期限が切れるまでの推奨時間を教えてください。

私は財政的に傾いているサイトで作業していて、興味がありました。ユーザーが自分のパスワードを忘れてリセットを要求した後、パスワードリセットリンクが期限切れになるまで待つ標準的な時間はありますか?

一方、そのような「標準」がない場合、UXプラクティショナーは、ユースケースの賢明で許容可能な期間を把握するにはどうすればよいでしょうか。

14
Rachel Diesel

規格がないようです。

https://postmarkapp.com/guides/password-reset-email-best-practices には、次の情報を含むパスワードメールリセットガイドがあります。

有効期限情報

リンクの有効期限が切れた場合、リンクが期限切れになるまでの期間と、リンクが期限切れになるまでの期間を受信者に知らせる文を含める必要があります。また、便宜上、リンクの有効期限が切れた場合に別のパスワードリセット要求を開始できる場所への直接リンクを含めます。

適切に設計されたパスワードリセットプロセスは、一定期間が過ぎると自動的にパスワードリセットURLが期限切れになるか無効になります。場合によっては、有効期限が厳しい場合があり、受信者がメールを確認してパスワードをリセットする機会がなくなる前にリンクが期限切れになる可能性があります。したがって、リンクが期限切れになるという事実と、リンクが期限切れになる時期の両方を明確に伝えることが重要です。

ユースケースによると思います。誰かが自分のパスワードをリセットしていて、アクセス権を必要としている場合、有効期限を短くすることは理にかなっています。

誰かがすぐに使用されるかどうかに関係なくパスワードリセットメールを送信している場合は、リセット時間を長くするとユーザーにとって便利です。

4
Joshua Dance

私が見つけた標準に最も近いものは OWASP Forgot Password Cheat Sheet です。

20分程度以内

4
Maxim Y

通常、ユーザーはパスワードのリセットを開始すると、積極的にアカウントにアクセスしようとしています。リンクの有効期限を30〜60分に設定し、リンクの有効期限が切れるときにユーザーに通知するメッセージを挿入し、新しいリンクが必要な場合にプロセスを再度利用できるようにする方法を説明します。

ただし、すべてのユーザーに対して一般的なパスワードを忘れた場合のリンクを使用でき、リンクの有効期限をまったく気にする必要がないアプローチがあります。ユーザー固有のリンクを提供するとセキュリティの問題が発生するため、すべてのユーザーがパスワードを忘れた場合のページにアクセスして、パスワードのリセット画面に進む前に、特定のチャレンジとセキュリティの質問に答える必要があります。この方法を使用すると、同じユーザーのメールアカウントも侵害された場合に、そのユーザーのアカウントが侵害されるリスクを軽減できます。このアプローチの概要は、この PDFファイル に記載されています。

2
ChrisK

私は24時間はユーザーフレンドリーな(つまり、便利な)時間制限ですだと思います。あなたが要求者であるかどうかを覚えるのは簡単であり、それはあなたに多くの時間を与えます。

0
Tim Huynh

有効期限が長いほど、他の誰かがこのリンクにアクセスする可能性が高くなります。そのため、有効期限は比較的短くする必要があります。

使用する電子メール(SMTP)サーバーが電子メールをすぐに送信するのではなく、少し遅れて送信する場合があることに注意してください。また、ユーザーの電子メールクライアントでは、サーバーのチェックの間に遅延が発生する場合があります。したがって、10分から1時間の有効期限をお勧めします。

0
mentallurg