先ほど上司からIDとパスワードの発行方法についてコメントを求められたので発行ルールを考えてみた。

せっかくなのでメモ的に投稿。

１．オンラインで発行する場合。

１?１．ID、パス共に申込者（利用者）が決める
この場合、本人確認（SPAM様の利用防止）のためにメールで
本登録のURLを送る。

１?２．ID、パス共にシステム側が決める。
１?１と同様に本人確認メールを送り、本契約は記載されたURLに
アクセスして行う。この時点でパスワードの変更を促すところが
多いように思います。

１?３ IDはシステム、パスワードは利用者が決める。
これも上と同様に本人確認メールとWebからの本登録を行う。

トレンドとしては１?１が多いように思います。この場合おそらくは、
システム側（マシンではなく管理者の意）はパスワードを知る手段は
ないように思います。（色々なサービスのカスタマーサポートを受けての
感触です）
パスワードを忘れた場合は初期パスワードに戻るではなく、新たに発行
するか、システム（マシンの意）からメールで知らされるケースが多いです。
DBを見ればパスワードが分かるという仕組みにはなっていないと思われます。

２．書面で申し込み・通知される場合

２?１ この場合、ID、パス共にシステムが発行しています（当然ですが）
で、パスワード変更の仕組みを用意し、変更することを書面で促す。
ただし、DBを見ればパスワードが分かるという状況になっているかは
ちょっと疑問です。
おそらくはシステム側ではパスワードは常時マスクされており、印出時のみ
見える仕組みになっているところが増えていると思います。
（セキュリティに対する意識が高い企業ほどそうではないかた思います）


あくまでも自分の感じたところから考えてみました。