MW211 EXIT

devlog
設計/アカウントのロックアウト
2012年05月16日
「アカウントのロックアウト」とは、
ユーザアカウントを凍結して、ログインできないようにすること。

パスワードを闇雲に試してみようとする輩を排除するために、
一定回数以上パスワードを間違えると、
自動的にそのアカウント(ログインID)が使えなくしたりする。

ただし、第三者がログインIDを知っている場合、そのアカウントになりすまして
わざと誤ったパスワードを何回も入力し、アカウントをロックアウトしてしまうという
嫌がらせができてしまうわけだ。

銀行ATMでも同様の機能があるが、ログインIDにあたるのがキャッシュカードであり
これは容易に他人の手に渡らないので大丈夫。
でも、ログインIDとなるとそこまでのセキュリティ感覚は働きづらい。

この点を考慮せず(甘く見て)、その復旧を管理者の手動とかに設計すると
年中無休即時対応のサポート並みに地獄をみることになる…かも。

だから、回復方法としては、一定時間おいたら自動的に復旧させる、
当事者にアカウントがロックした旨のメールを出して自分で復旧してもらう、
とか自動化が必要だ。

あ、そうそう、「アカウントのロックアウト」には
迷惑行為をする輩を締め出すためって場合もある。
ま、これは懲罰処置だから、ロックアウトしちまえば終わり。
あと、これこれこういう理由でロックアウトしたよって通知すれば親切だね。
分類:設計