過去問(H28春FE午前問40)を解いてみましょう。なかなかいい問題です。
問40 Webシステムのパスワードを忘れたときの利用者認証において合い言葉を使用する場合,合い言葉が一致した後の処理のうち,セキュリティ上最も適切なものはどれか。
ア あらかじめ登録された利用者のメールアドレス宛てに,現パスワードを送信する。
イ あらかじめ登録された利用者のメールアドレス宛てに,パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。
ウ 新たにメールアドレスを入力させ,そのメールアドレス宛てに,現パスワードを送信する。
エ 新たにメールアドレスを人力させ,そのメールアドレス宛てに,パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。
  
ア、ウ:メールでは、パスワードが盗聴される可能性があります。
イ:パスワード再登録用のページは、HTTPSで暗号化通信を行えるので安全です。また、合い言葉が突破されたとしても、第三者に再登録用のページが送られることはありません。
でも、このURLが盗聴される可能性もありますよね。そこは、さきほどの合言葉が一致したページに表示する番号などを送られたURL上で入力するなどのプロセスにすれば安全性が高まります。
では、なぜ、推測困難なURLにするのでしょうか。
エ:合い言葉が突破されると、第三者に再登録用のページが送られてしまい、パスワードを自由に設定されてしまいます。
【正解】 イ