エンジニアの想像力
利用サービスやアカウントを定期的に棚卸しをしています。古いメールアドレスとか電話番号とか住所とか、そういうのが残っていたりするので。
いくつかのサイトの更新をしていて、「これ、情報更新失敗したら詰むな」ってところもたくさんありました。
- ログインIDが「メールアドレス」。
- メールアドレスの変更時に、送達確認をしない。(2回入力させるようなこともない。)
- パスワードを忘れたときの復旧方法がメール通知。
このパターン。メールアドレスの変更時、タイプミスで誤って登録してしまうと……二度とは入れませんw
メールの送達確認の手順さえできていれば少なくともログイン用のアカウントは正しく設定できるハズなんだけど、それができていないと……詰みます。
この辺、想像すればわかると思うんだよねぇ。少なくとも複数のユーザ特定のプロパティがあり、ひとつずつ変更するとか変更された値が正しいときのみ実行するとか、そうしないと復旧できないケースが出てきてしまう、ってことは……。ま、コストをかけられなから杜撰な認証の仕組みにするしかない、ってのはわかるけど。(セキュリティ周りってしっかりやろうとすればカネがかかる。監査すればなおさら。)
ま、他の情報として「ハンドル名」だったり「本名」だったり「住所」だったり、いろんなプロパティがあれば、サポートの人と連絡を取りあってアカウントを復旧させることはできるんだとは思いますが……
アカウントを最新化しようとして二度とログインできなくなるとか、そういうのは勘弁して欲しいですなぁ。