ログイン・アカウント = ユーザーIDとパスワード
将来的にはIDフェデレーションやソーシャルログイン対応?なども検討。
メールアドレスをユーザーIDとして使用する。
・・・。
ハッシュ+ソルト+ストレッチングしたもの保存する。
攻撃の手がかりを与えないように曖昧にする。
「ユーザIDまたはパスワードが正しくありません」
20-30回ぐらいと多めにするか・・・。
主要なWebサービスで必須でないため採用しない。
実装しない。
パスワード・リセットを実装する。
Webサービスを参考にすると良いかもしれない。
guest様 今までにご利用されたことのないコンピュータ、携帯機器、場所からFacedookアカウントへのログインがありました。安全のため、不正な利用がなかったことをご確認いただけるまで、Facedookアカウントを一時停止させていただきました。 新しい機器またはいつもと違う場所からFacedookにログインしましたか? -他人がアカウントにログインしたと思われる場合は、いつもご利用のコンピュータからFacedookにログインし、以下の手順にしたがってアカウントの安全を回復してください。 -このログインが正当なものである場合は、これまでどおりFacedookアカウントをご利用ください。 詳しくは、こちらのヘルプセンターをご覧ください。 http--- よろしくお願いいたします。 Facedook Security Team