パスワードを忘れたユーザを救済するための仕組みをパスワードリマインダといいます。パスワードリマインダを設けることでユーザの利便性は高まりますが、認証の機会が増えることでセキュリティが弱くなるため仕組みや設置の可否を慎重に検討する必要があります。

IPAのセキュリティプログラミング講座では、パスワードの再設定・再発行手続きとして以下の手順を推奨しています。(要求されるセキュリティレベルによっては一部の手続きを簡略化可能)

1. パスワードリマインダのWebページ上（https:）で1回限り有効なキー(短め)をユーザに発行する。
2. 1回限り有効な別のキー(長め)を含むURL（https:）を、ユーザがあらかじめ登録している電子メールアドレス宛に送信する。
3. ユーザにそのURLのWebページにアクセスしてもらい、先ほどのキーを入力してもらう。
4. キーが照合できたらパスワードの再設定あるいは再発行を行う。
5. 一定回数以上照合に失敗したら 2つのキーは無効にする(ロックアウト機能)。

メールのあて先は「あらかじめ登録済みのメールアドレス」、送信する内容は「再設定ページのURL」の組合せが適切なので、正解は「イ」です。

• あらかじめ登録された利用者のメールアドレス宛てに，現パスワードを送信する。
  受信者のメーラーがメールの暗号化を行うS/MIMEやPGPに対応していなかったり、HTTP接続でないWebメールサービスを利用する際にはメールの内容が盗聴される恐れがあります。またパスワードが記載されたメールの取扱い方法によっては、第三者に漏れてしまう可能性も考えられます。このためパスワードそのものをメールで送ることは危険です。
• あらかじめ登録された利用者のメールアドレス宛てに，パスワード再登録用ページヘアクセスするための，推測困難なURLを送信する。
  正しい。あらかじめ登録済みのメールアドレス宛に、一時的なパスワード再設定ページへのURLを送るのが安全な方法です。
• 新たにメールアドレスを入力させ，そのメールアドレス宛てに，現パスワードを送信する。
  攻撃者が任意のメールアドレスを指定できてしまうため危険です。
• 新たにメールアドレスを入力させ，そのメールアドレス宛てに，パスワード再登録用ページヘアクセスするための，推測困難なURLを送信する。
  攻撃者が任意のメールアドレスを指定できてしまうため危険です。

💾 ✔️