テクニック G218:電子メールリンクによる認証
このテクニックについて
このテクニックは次に関連する:
- 3.3.8: アクセシブルな認証 (最低限) (十分なテクニック)
- 3.3.9: アクセシブルな認証 (高度) (十分なテクニック)
このテクニックは、認証をサポートする技術に適用される。
解説
このテクニックの目的は、利用者がパスワードを必要とせずに簡単に認証できるようにすることである。このテクニックでは、利用者がメールアドレスを入力すると、クリックするためのリンクが記載された電子メールが送信される認証メカニズムを提供する。利用者が電子メール内のリンクをクリックすると、ウェブサイトに戻り、自動的にログインする。
注記
このテクニックでは、電子メールリンクのメカニズムのセキュリティに焦点を当てていないが、一般的には、電子メールの一部として期限付きのトークンを送信する。
事例
事例1: コンテンツ制作者がリンクを使ってログインするための電子メールメカニズムを提供する
ソーシャルメディアのウェブサイトには、ユーザ名とパスワードに基づくログインメカニズムがある。パスワードを忘れた場合の機能の一部として、電子メールでログインするための別のリンクが用意されている。利用者が電子メールアドレスを入力してフォームを送信すると、サイトから電子メールが送信される。電子メール内のリンクをクリックするとウェブサイトが開き、利用者はログインできる。
関連リソース
推奨を意味するものではない。
検証
手順
アカウントに関連付けられた電子メールアドレスにリンクをメールで送信することで利用者がログインできるウェブサイトについて:
- 有効な電子メールアドレス (ウェブサイトにアカウントがあるもの) を入力し、電子メールリンク機能を使用する。
- 電子メールが受信されることをチェックする。
- リンクを選択するとウェブサイトが開くことをチェックする。
- ユーザアカウントがログインしていることをチェックする。
- 認証プロセスでオブジェクト認識テストが使用されていないことをチェックする。
期待される結果
- 2、3、及び 4 が真である。
- レベル AAA の、アクセシブルな認証 (高度) の場合、5 も真である。