web-dev-qa-db-ja.com

パスワードのないユーザーアカウント

私は現在就職活動をしています。たまに巨大なデータベースの完全な求人情報のサイトに出くわすことがあります。応募する前に、アカウントを作成する必要があります。私は a site に出くわしましたが、そのセキュリティ慣行には懐疑的です。

応募したい求人情報を見つけたらメールアドレスを求められたので入力しました。ポップアップから、履歴書と通常の連絡先情報を要求されました。必要なものを提供し、アプリケーションを送信しました。

しかし、電子メールアドレスを使用し、パスワードの入力を求めずにユーザーアカウントを作成したことに気付きました。

すぐに私はこれに驚いたので、サイトが変更を必要とする一時的なパスワードをサイトから提供されていると考えてメールをチェックしましたが、メールアドレスを確認し、次にパスワードを入力してください。私の観点からは、パスワードのないユーザーアカウントを3〜5分間持っていました。

私は懐疑的でしたか?アカウントを削除すべきですか?

45
user181505

パスワードを設定していないからといって、アカウントにアクセスできるという意味ではありません。コードを確認しないと確信が持てませんが、メールのリンクを使用してパスワードを設定するまで、アカウントにログインできなかった可能性があります。サイトの使用を継続している間も、同じセッションIDを使用していました。

72
schroeder

このようなユーザー登録ワークフローを作成したプログラマーとして、私は心配することは何もないであることを保証できます。


ちょっとした背景情報

メールアドレスを入力しても、ユーザーアカウントは作成されません(そうです、正しく読みます)。メール、リンク、有効期限、その他の詳細が保存されます。電子メールを確認してパスワードを入力すると、新しいユーザーアカウントが作成されます。

しばらくすると、ユーザーアカウントが確認されない場合、ユーザーに関するすべての情報が削除されます。

つまり、ここで発生したのは、サインアッププロセスの前にメールが確認されるということです。

なぜこれが行われるのですか?

これは、偽のユーザーアカウントが作成されないようにするためです。また、誰かがあなたのメールに関連付けられたユーザーアカウントを誤って作成することも防ぎます。


今あなたの質問に答える

私は懐疑的でしたか?アカウントを「削除」する必要がありますか?

アカウントを削除する必要はありません。これは一般的ではない動作ですが、有害な動作ではありません。これは単なる追加のセキュリティ対策です。

66
Kolappan N

しかし、メールアドレスを使用し、パスワードを要求することなくユーザーアカウントを作成したことに気付きました。

このアプローチは、ユーザーエクスペリエンスをより便利に提供することに関係しています。彼らはあなたの履歴書と詳細を望んでいますが、パスワードを推測して迷惑をかけたくないので、彼らはあなたのパスワードを設定するためにあなたの時間をかけるか、決して戻ってきないかのどちらかをあなたに任せています。

別のブラウザまたはマシンを使用して同じメールで履歴書をアップロードすると、おそらく同じメールの別のアカウントがすでに存在しますが、あなたまたは他のユーザーは、あなたに送信されたリンクがないとそのアカウントにアクセスできません。 (ただし、一意のIDの管理方法に依存するため、必ずしもそうとは限りません)

私は懐疑的でしたか?アカウントを「削除」する必要がありますか?これが行われるかどうかは誰にもわからないので、私は引用符で削除と言います。

このアプローチは非常に一般的です。
別の理由がない限り、アカウントを削除する必要はありません。

21
elsadek

重要な最初のポイント:彼らが本当にばかげたことをしない限り、パスワードなしのアカウントはセキュリティリスクではありません。代わりに、パスワードがないと誰かがアカウントにログインできないのが普通の習慣です。その観点から、パスワードなしでアカウントを作成し、確認のためにユーザーに電子メールを送り、そしてthenユーザーにパスワードを設定させることは、一時的なパスワードを設定することよりも安全ではありません。その結果、ここでは実際のセキュリティ上の懸念はありません。

7
Conor Mancone

このように考えてみてください。電子メールで提供されたリンクは、ある意味で一時的なパスワードです。これは、実際のパスワードを作成できる「特別な」一時パスワードです。

リンクを見てください。長いトークン/文字列が含まれていますか?もしそうなら(そして、それが正しく実装されていて、100%確実であるとは決して言えない場合)、リテラル一時パスワードを送信するのと同じくらい安全です。

これで、リンクにnotにトークンが含まれていて、推測可能な短いURLである場合、アカウントの作成で確立したセッションを使用している可能性があります。それも行わない場合、誰でも上記のURLを推測して関連するアカウントのパスワードを変更できるため、システムは本当に脆弱です。

5
Joseph A.

アカウントを削除する理由がわかりません。

  1. ユーザーアカウントを作成しました...ユーザーアカウントがありました-それが実際に作成されたことをどうやって確認しますか?メールを確認する前にログインを試みましたか?アカウントがまったく作成されなかった可能性があります。メールを確認してから作成された可能性があります。
  2. アカウントが作成された可能性がありますが、メールを確認するまで、最初から無効にされていました。
0
mentallurg