security - Twitterのダイレクトメッセージを介して、紛失した資格情報をユーザーに提供する必要がありますか？

Question

電子メールではなくTwitterのダイレクトメッセージを介して、紛失したユーザー名またはパスワードをユーザーに提供する方が（より便利または安全に）なりますか？

Answer 1

紛失したパスワードはまったく提供しません（ほとんどの場合、提供できないためです。正しく実行している場合は、パスワードをプレーンテキストで保存しないためです）。

リセット機能を使用すると、ユーザーは、たとえば秘密の質問や電子メールによるアクティベーションリンクを使用して、パスワードを変更できます。

Answer 2

私は本当にサイトが私のユーザー名とパスワードをTwitterに投げてほしくない。

いいえ、結構です！

Answer 3

メールで送信するのと同じくらい安全です。新しいパスワードを生成し、それをdm経由でユーザーに送信すると、ユーザーのみがパスワードを読み取ることができます。そして、はい、ユーザーは暗号化されていない接続を介して安全でない方法でTwitterにアクセスできます。しかし、誰かが暗号化された接続を使用して自分のメールにアクセスすることを保証することもできません。

実際、Twitterの管理者だけがメッセージを傍受でき、管理者はユーザーからのメールを読んでいないことがわかっているので、より安全になる可能性があります。

Answer 4

セキュリティはさておき、ユーザーがTwitterであなたをフォローしていない場合、パスワードのリセット情報やパスワードのリマインダーなどをダイレクトメッセージでユーザーに送信できないという重大な欠陥もあります。あなたのサイト自体がTwitterクライアントでない限り、潜在的なユーザーのかなりの部分があなたをフォローすることに特に興味がなく、彼らがあなたをフォローしなければならない（または少なくともフォローする）と言われることに憤慨する可能性が高いです。彼らがあなたのサイトを使用したい場合は、パスワードを変更する/フォローを解除する）。

更新： 言及するのを忘れました...ユーザー認証機能をTwitterに結び付けたい場合は、独自のパスワードストアを維持する代わりに、Twitter OAuthを使用してみませんか？それは非常にうまく機能し（失敗したクジラを除いて）、ユーザーにとって非常に迅速かつ簡単であり、ユーザーが誰をフォローするか、またはフォローしないかについての要件を課しません。

Answer 5

この投稿を読むことから始めます：「パスワードを忘れた」最良の方法は何ですか？
これにより、正しい方向に進むことができます。

Answer 6

パスワードを忘れた場合は、UPS、FedEx、またはUSPSからパスワードを送信してください。

ユーザーを罰する。

悪いユーザー。

Answer 7

とにかくパスワードをプレーンテキストで保存するべきではないと多くの人が指摘しているので、それを繰り返すことはしません。

ただし、1回限りのパスワードリセットリンクをTwitter DMとして送信する場合は、ユーザーが携帯電話でそのメッセージを受信する可能性があることを考慮に入れる必要があります。

次に、そのリンクが指しているものがすべて、携帯電話のWebブラウザで正しく表示されるように設定されていることを確認する必要があります。

次に、あなたはあなたがただ電子メールで立ち往生していることを望みます。

Answer 8

パスワードを保護し、メールやTwitterで何も送信しないでください。これを行うには、 MD5およびその他のアルゴリズムを検索します。

ウィキペディアによると：

暗号化では、MD5（メッセージダイジェストアルゴリズム5）は、128ビットのハッシュ値を持つ広く使用されている暗号化ハッシュ関数です。インターネット標準（RFC 1321）として、MD5はさまざまなセキュリティアプリケーションで採用されており、ファイルの整合性をチェックするためにも一般的に使用されています。

暗号化せずにパスワードを保存しているWebサイトを見ると、嫌いです...そして、WebサイトがTwitter経由でパスワードを送信し始めたら、何かが壊れてしまいます。

Answer 9

安全でないチャネルを介してパスワードを逐語的に送信する代わりに、代わりにナンスを送信します。例：ユーザーがクリックして個人情報を確認し、新しいパスワードを選択するように強制される1回限りのURL。

このように、メッセージが傍受された場合、個人的な質問をハッキングせずに損害を与えることはできません。