TwitterやFacebookの認証経由でユーザー登録するサービスにパスワードの設定は必要か?
最近はメールアドレスとパスワードによるユーザー登録ではなく、TwitterやFacebookの認証経由でログイン(=初めてのログインだったらそれが自動的にユーザー登録になる)というサービスが増えてきています。
もしそのサービスがそもそもメアド/パスワードでのユーザー登録をしておらず、Twitter/Facebookログインのみであれば、パスワードの設定などさせないことがほとんどです。
しかし、メアド/パスワードでのユーザー登録と、Twitter/Facebook認証経由のユーザー登録を併用していた場合は、果たしてパスワード設定させなくてもいいのでしょうか?
パスワード入力が必要なのはどんな時か?
そもそもパスワードは「確かにこの操作をしている人がこのアカウントのパスワードを知っている人(本人)かどうか」を確認するために入力するものだと考えられます。
サイトのすべての操作にパスワード入力を求めるのは大抵の場合理にかなっていないので、大体以下のような操作の際にパスワード入力を求められることが多いです。
- 新規登録のメールを受け取った後の確認フロー
- ログイン
- パスワード変更
- 退会処理
- その他重要な情報の変更
したがって、TwitterやFacebookのアカウントでユーザー登録させているかといって、パスワード設定を放棄してしまうと、こういった処理でパスワードによる本人確認ができなくなってしまいます。
ユーザー登録の敷居の問題
かといって、Twitter/Facebook認証によるユーザー登録のフローにパスワード設定の画面を1つ挟み込むとそこでユーザー登録をあきらめる人も出てくるでしょう。また、大抵の場合はパスワード設定させないことが多いので、ユーザーはきっと戸惑います。
もしかしたら「Sign in with Twitter」のボタンを押す前にパスワード設定をさせておくと、敷居は下がるかもしれません。ただその場合、「パスワードを忘れた」という時にどのようにパスワードを再設定させるかという問題が生じ、それを解決するにはメールアドレスを設定させておく必要も出てきます。
だとすると、「Sign in with Twitter」経由での新規登録であっても「メールアドレス」と「パスワード」の入力欄が必要になり、メアド/パスワードによる登録となんら変わらなくなります。だったらすべてメアド/パスワードによるユーザー登録に共通化し、登録後にアカウントと関連付けてもらうほうがいいのではないかと思います。
パスワード設定させない場合のデメリットは?
1. Twitter/Facebookが落ちていたらログインできない
Twitter/Facebook認証によるログインはTwitterやFacebookが落ちている場合に使えなくなります。Facebookは稀かもしれませんが、Twitterが落ちることはよくあります。いざという時にTwitterのAPIの調子が悪くてサイトにログインできなかったら不便です。
2. パスワードを設定しているユーザーと設定していないユーザーの混在
もしメールアドレスなど通常のユーザー登録と併用しているサイトでTwitter/Facebook認証によるユーザー登録(パスワード設定なし)を併用すると、「パスワードを設定しているユーザー」と「パスワードを設定していないユーザー」が存在することになって、色々と考慮しないといけないことが増えてしまいます。
3. パスワードによる本人確認が不可能になる
さらに、最初に挙げたような「退会処理」や「重要な情報の変更処理」などでパスワードによる本人確認ができなくなったりします。
もしこういったデメリットを無視してもいいのなら、パスワードを設定させないという方針でもいいかなと思います。
まとめ
というわけで、そのサイトが採用しているユーザー登録手段とメリット/デメリットを踏まえつつまとめると、
- Twitter/Facebook認証によるユーザー登録のみの場合、お手軽サイトにするならパスワード設定は不要。
- パスワード設定させるなら、ユーザー登録はすべてメールアドレスとパスワードによる登録にしておいて、TwitterやFacebookアカウントとの連携はユーザー登録後にやってもらう。
というのがいいのでしょうか。うまくまとまっていない気がしますが、長い文章は苦手なのでこの辺で一旦打ち切っておきます。
著者について
コメントを残す