岩本隆史の日記帳(アーカイブ)

はてなダイアリーのサービス終了をうけて移行したものです。更新はしません。

ユーザID≠ログインIDにしよう、そうしよう

この日記が良い例ですが、URLなどでIDが公開されるWebアプリは、悪意のある第三者にパスワードが推測されてしまうと、不正ログインされる可能性があります。

考えてみると、ログインに使うIDをわざわざ公開する必要はなさそうです。公開することに意味があるとすれば、ユーザが自身のIDを忘れにくくなる(忘れてもURLを見れば分かる)ぐらいのものでしょう。

ならば、URLなどで公開される識別情報としてのユーザIDは、ログイン用のIDとしては使えなくしたほうがよいのではないでしょうか。つまり、ユーザIDとログインIDにそれぞれ別の文字列を登録してもらうということです。

そのようなユーザ管理方式を採用した場合、上述のように、ユーザが自身のログインIDを忘れてしまう可能性が考えられます。それを防ぐには、mixiのように、メールアドレスをログインIDにするのがよいのではないでしょうか。記憶力のなさに定評のある私でも、自分のメールアドレスを忘れたことはありません。いや、あったかな。なかったかな。忘れたかどうか忘れてしまいました。

批判としては「メールアドレスだって推測可能ではないか」というのが思いつきますが、推測不要なユーザIDよりはセキュアなはずなので却下。

そんなわけで、少し遅くなりましたが、あけましておめでとうございます。