ID制から又こっちに来たのは大失敗だったような感じだな。
誰が誰だかわからん部分が何レスかある。


とりあえず、>>213のやつでいいと思うんだけど、
対象を1人で考えてるだろ。

10000万人規模で考えて、全員のパスワードが漏れた場合と、全員のログインセッションが漏れた場合の両方で、
どう対応するか、それぞれのシナリオ書いて、そのあとシステム管理者は何をするか考えろ。

それから
>一度でも侵入されたらそれで終わりだから

本当にそれで終わりかどうか、一般的なシステムはどうなってるか見てみろ。
特にAmazonあたりは参考になると思うぞ。

お前がいかにアホかよく分かるはずだ。