色々WEBサービスを作っている中で悩むのは利便性とセキュリティ。
この相反する命題の妥協点をどこにするか?
最近はPWDも簡単過ぎるものは拒否されたりします。
それで人間には絶対に覚えられないPWDを勝手に生成してくる。
覚えられないからどこかにコピペするしかなく、これをローカルだけに置いてもしPCが壊れたら大変なのでクラウドにも置いておきましょうということになる。
すると結局セキュリティリスクを負う事になる。
使う側も「PWDばっかり覚えられないよ!」という声も多く、この度うちのサービスではメールアドレスだけでログインできる仕組みを導入しました。
メルアドを入力したらそのアドレス宛にログインURLが送られてくる。
だからメルアドの持ち主しかログインできない。
これはいい仕組みだと思うんですけど、皆がこれにしないのは何かセキュリティ上のリスクがあるからなんでしょうかね?
とりあえず3つのサイトで採用しましたが、ECサイトで使うのがいいのかどうかはまだわからないので様子見ですかね。