仮パスワードの必要性

アドバイスお願いします。
会員制サイトを構築しようと思っています。
様々なサイトの会員登録で、いったん仮パスワードが発行されてから自分でパスワードを変更しなおすという仕組みがあるものを見かけます。
登録の際、はじめから自分の使いたいパスワードを設定させる仕組みで済むような気がするのですが、敢えて仮パスワード発行→パスワードのユーザによる変更という流れにする必要性がわかりません。
どうしてでしょうか？

trajaa 回答No.1

例えば書面で申請するような場合、紙の上にパスワード文字列が書き込まれているということは、その申請書類を覗き見ることができれば成済ましが可能。

ということはその申請書を安全に管理する負担が増える。

オンライン申請の場合、申請自体が成済ましだったり
あるいは申請時のメルアドが誤りや架空などの場合、一発申請方式では幽霊IDが増える。
仮IDや仮パスワードにしておけば、幽霊IDの確認も容易だし排除も簡単。

仮IDや仮パスワードをメールで通知する。という方法でIDと連絡先メルアドのリンケージを担保する。

それに仮パスワードの場合、管理者自体がユーザーのパスワードを知ってしまう危険性を減らせるしね。
管理者であろうとも利用者のパスワードは知ることができないようなシステムではないと信用されないし、管理者側もリスクを持ちたくないし。

まあ、大雑把にいえばそんな感じ

お礼 2008/12/05 01:33

trajaaさん
レスありがとうございます。
参考になりました。
ご回答について、ちょっと考えてみました。
確かに、本IDと本パスワードで一発申請による登録であると、メールアドレスが誤っていた場合には、幽霊IDが増えてしまうわけですね。
しかし、申請→即登録方式ではなく、申請→確認メールの送信→申請者からの確認操作、という手順を踏まえるということであれば、誤ったメールアドレスの場合は、仮ID・仮パスワードでなく、はじめから申請者が決めた任意のIDとパスワードでも、幽霊IDを排除できるのではないかと思います。

何か他に仮ID・仮パスワードにする理由があるのではないかと思うのですが、いかがでしょうか？

taketake39