新しいニトリはパスワードを平文で送ってこなくなったのか

Development,Web Serviceニトリ

6/23、新しくなった ニトリネット。以前は、パスワードの通知機能があり、パスワードを平文で送ってきていました

ニトリネット
ニトリネット

リニューアルでどうなったのか確認してみました。会員移行ではなく、新規にアカウントを作成しています。

パスワード問合わせ

「パスワード問合せ」ページがあります。必要な項目は、電話番号メールアドレス(お客様 ID)

パスワード問合せ
パスワード問合せ

メールの内容

メールを確認すると「仮パスワード」方式になったようです。

仮パスワードを発行した時点で、以前のパスワードは使えなくなります。そのため、仮パスワードの有効期限はありません

メール内容
メールの内容

私の感覚では、新しいパスワードを平文で送ってきているのと変わりないような気がします。

仮パスワードでログイン時の動作

ログインは、メールアドレスと仮パスワードでログインできます。

ログイン画面
ログイン画面

ログイン後は、パスワード変更が強制されます。変更をスルーできるサイトもあるんですが、新しいニトリネットでは無理そうでした。ここは良ポイントだと思います。

パスワードの変更
パスワードの変更

おわりに

仮パスワードという言葉はあいまいで、いろいろな実装を見かけます。単にシステムが生成したずっと使えるパスワードをそう呼んでいるサイトもあり、仮パスワードだから問題ないとは言えません。

今回のニトリネットの内容を リセット後のパスワードをメール送信するパスワードリセット方式の注意点 | 徳丸浩の日記 で、推奨されている内容でチェックします。

  • 仮パスワード方式とする(必須)→ ○(仮パスワードでログイン後すべての機能は使えない)
  • パスワード変更をメールで通知する(必須) → ○
  • 仮パスワードの有効期限を設ける(強く推奨) → ×
  • 仮パスワード発行後も元のパスワードは有効とする(強く推奨) → ×
  • 仮パスワードが有効な状態で、元パスワードでログインした場合は、仮パスワードをキャンセルして警告表示する(推奨) → ×
  • パスワードリセットの前に秘密情報を要求する(推奨) → ○(電話番号)

以上です。