ローソンID会員様へのアカウントメールアドレス・パスワード再設定のお願い|ローソン
要約すると
- 他サイトから流出したパスワードで攻撃されてる(攻撃成功率などは不明)
- 全会員のパスワード強制リセット
- みんな一斉に再設定しようとしてシステムオーバーロード←今ここ
もうどこから突っ込んでいいやら。
そもそも、「自サイトから流出した場合」を除いて運営側の強制全リセットは悪手だと思う。
特に、手間とか負荷よりも、信頼を失わせるのが一番ダメポイント。
強制パスワードリセットは流出を起こした側が実施するものなので、「リセットした」→「ローソンからパスワード流出!?」と勘違いしてしまう(実際私もこれを疑った、というより今でも疑っている)
大量に攻撃されていてもログイン成功しなければ無視すれば良いし、成功していれば該当ユーザーのみ強制リセットすればいい。
たとえ該当ユーザーが99%いたとしても、残りの1%はリセットすべきじゃない。
そして何より怖いのは、これが他のサービスでも行われ始めたらもう地獄。
実際に不正ログインできなくても、デタラメなパスワードでログイン試行DDoSするだけで、サービス運営側が勝手に自爆してくれるのでクラッカー大喜び。
これが歴史上最初で最後になることを祈る...。