よろしくお願いします。

皆さんはTwitter使っていますか？ と聞くのも野暮なくらい、ぼくのこのブログへの遷移はTwitter経由が多いです。 今回は、そんなTwitterのちょっとした話。

先日、クレジットカードを不正利用されてしまったという事件があったんですよね。 その話はいつかしようと思っていたら時期を逃してしまったんですが、その際に一旦自分のインターネットにあるアカウントを棚卸ししようと思ったんです。

棚卸ししている中、中盤に現れた巨人。Twitter。 このサービス、ぼくは2009年から使っているわけなんです。 結構昔っていうこともあり、パスワードとかも結構ザル。慌てて変えたあと、他に設定できる項目がないかを探していました。

そうすると、今まで設定していたけどどういうものか詳しく調べていなかった項目のことを思い出しました。 その名も、追加のパスワード保護。 中にはパスワードリセットの保護っていう項目があります。

https://twitter.com/settings/security

この設定、皆さん使っていますか？ ぼくは、これがどんなものなのかを今回あらためて調べました。 そして、その結果として、絶対設定するべき項目だと思ったわけであります。(怒り新党風に) さて、どういうことでしょうか。

まずは、どういうものかという前に、前提知識から。 皆さんは、Twitterに限らずですが、パスワードをリセットする機能を使ったことがありますか。 使ったことない人なんていないですよね。 このインターネット全盛期、パスワードを全て覚えている人なんていないですから。

さてさて、そんなパスワードリセットですが、Twitterのそれって結構特殊なんですよね。 どのように特殊かといいますと、アカウントのIDを入れたらメールアドレスの先頭いくつかと文字数がわかってしまうということです。*1 さらに、二段階認証を設定している人だと電話番号の下2桁もわかってしまいます。

これ、実は結構危険なんです。 パスワードリセット自体はそのアカウントを持っていない人でも行うことが可能です。 そのため、悪意ある人がこれを悪用することができてしまいます。 先頭の文字と文字数がわかれば、場合によっては他のアカウントを特定することやメールアドレスを特定することが可能になってしまいます。 これを使えば、簡単に悪用できてしまいますよね。 他にもアカウント持っている人もいるかと思いますが、それがバレてしまうのっていろいろ問題起きてしまうんじゃないかと思っています。

また、この段階ではユーザには通知が行かないのも問題です。 送信するとわかってしまいますが、その前段階なので、アカウント所持者の認識なしに情報が漏れてしまいます。

個人的には昔からこの仕様は気に入っておらず、以前からなんとかならないかと思っていました。*2

そこで、登場するのが先に挙げた、パスワードリセットの保護です。 このパスワードリセットの保護を設定すると、メールアドレスの選択ではなく、メールアドレスの入力となります。 結果、正しいメールアドレスを入力しないとパスワードリセットができなくなります。

もちろん、使い勝手はすこし不便になります。 メールアドレスを忘れてしまった場合はパスワードリセットができなくなりますからね。 しかし、その不便さを許容してでも、プライベートなアカウントがバレるのを避けたい人が多いはずです。 そんな人で、この設定をONにしてない方がもしいるようならば設定するのをおすすめします。

悪意ある人がいなくなることが一番なんですけどね。 この世の中善意だけでできているわけではありませんから、できる自衛はしていきたいものです。

それでは、また。