ユーザー名+パスワードでログインさせるのってどうなの?

ログイン失敗

サイトにログインする方法って色々ありますよね。

ユーザー名とパスワード、メールアドレスとパスワード、SNSのアカウントを利用してログインなど。

最近ではメールでログインのリンクを送信する方法も見かけるようになりました。

 

いくつかログインの方法があるわけですが、多いのはユーザー名とパスワードかメールアドレスとパスワードを使用してログインだと思います。

またサイトによってはメールアドレスかユーザー名どちらかとパスワードといった場合もありますね。

このユーザー名を利用してログインなのですが、便利といえば便利ではあるのですが正直嫌いだなぁというのが今回の記事の内容です。

 

他の人が見ることが出来るユーザー名は安全ではない

usernameだったりユーザーIDだったりしますが今回はユーザー名とします。

このユーザー名は固有のもので他ユーザーと重複することがなく、基本的には変更不可のサイトが多いですね。

Twitterとかだと変更出来たりしますが、あまりユーザー名変更可能なサイトは見かけません。

この他に表示名などがあって、ページ上ではこちらが表示されることになっているサイトもありますね。

 

私のTwitterだとユーザー名が「gfonius」で表示名が「フォン」なのですが、Twitterのアカウントのページhttps://twitter.com/gfoniusだとurlにがっつり「gfonius」と入っているわけですよ。

変更可能なTwitterを例に上げるといけないのかもしれませんが、これだけでログインに必要な情報が半分わかりますね。

ユーザー名自体は見ることの出来ないサイトでもTwitterのリンクを貼っていたりするとなんとなくIDはわかってしまいます。

 

パスワードがあるから安全?

私はサイトごとに長めのパスワードを変えているので、ユーザー名がわかったところで見ず知らずの人にログインはされないかもしれません。

2段階認証を導入しているサイトもあるのでそれも有効にすれば強固にはなります。

でも逆に言うと、ログインに失敗することは出来るのです。

 

ログイン失敗時の対応もサイトによって色々あります。

ログインに何回も失敗したIPアドレスからのログイン挑戦を一定時間拒否したり、登録されているメールアドレスに通知したりですね。

一番きついのだとアカウント自体をロックしてしまうになるんですかね?

 

失敗したIPからのログインをロックするくらいなら問題ありませんが、失敗をメールで通知するようなサイトだと意図的に不正ログインの対象になっていると不安を煽ることが出来るわけです。

アカウント自体のロックだと実害出てますよね。

 

滅多にそんなサイトないとは思うんですけど、稀にメールで通知してくるサイトに遭遇します。

例を上げるとpixivではログインに失敗し続けると、一時的にロックが掛けられて他のIPからログインする場合も画像認証を行わなければなりません。

 

ユーザー名もメールアドレスも入力する手間は変わらない

ユーザー名が5~10文字程度だとしたらメールアドレスは20文字前後といったところが一般的でしょうか?

正直数文字入力するのも20文字入力するのもあまり変わらないんですよ。

最近だとGoogleがログイン用のメールアドレスとパスワードをセットで覚えて管理してくれますし、アドレスは「@」に対して辞書で変換出来るようにすれば打ち間違えもなく1秒で入力出来ます。

ログイン状態を継続してくれるサイトがほとんどですし、先述のパスワードマネージャーも中途半端にメモしたりスクリーンショットでパスワードを管理するよりも安全だと私は考えています。

 

こういった機能を利用することでログイン時間を短縮出来るのに、ユーザー名をログインに使わせることは良くないと思うわけです。

ユーザー名もサイトごとに分ければ良いという話はおいておいて、これって結構どうなのって思うんですけどどうなんでしょうか・・・?