OAuth ログイン (Google/Twitter) が壊れたときに中規模アカウントを削除する — ユーザーがパスワードを強制的にリセットする方法

Google や Twitter などの OAuth プロバイダーを使用して Medium アカウントにログインすると便利ですが、突然ログインできなくなることがあります。多くのユーザーにとって、OAuth ログインの破損は単なる迷惑以上のものになる可能性があります。長年の執筆、活動、アイデンティティへのアクセスが失われる可能性があります。最近のケースでは、アクセスできない OAuth ログイン オプションに苦戦しているユーザーが、Medium アカウントを削除するためだけにパスワード リセットを実行せざるを得なくなったことがありました。

TL;DR

Medium で Google または Twitter を介した OAuth ログインが機能しない場合、ユーザーはアカウントにアクセスできなくなります。アクセスの回復には、通常、OAuth 専用アカウントには関連付けられないステップであるパスワードのリセットの要求が含まれます。これはユーザーを混乱させるだけでなく、データの自律性やプラットフォームのサードパーティ認証への依存性についての懸念も引き起こします。深刻なケースでは、ユーザーはプロファイルを削除するためだけにパスワードをリセットするしか選択肢がありませんでした。

OAuth と Medium のログイン システムを理解する

OAuth ( Open Authorization ) は、サーバー リソースへの安全な委任アクセスを可能にするプロトコルです。実際には、これにより、Medium のようなプラットフォームで、Medium 固有のパスワードを入力することなく「Google でサインイン」をクリックできるようになります。これは信頼されており、一般的に使用されていますが、リスクがないわけではありません。

Medium は、多くのコンテンツ プラットフォームと同様に、Google、Twitter、そして以前は Facebook を介した OAuth ログインを提供しています。ユーザーがこれらのクイック ログインを選択するのは、別のパスワードを覚える必要がなくなるからです。残念ながら、外部サービスに問題がある場合、または下位互換性なしで API が変更された場合、この利便性が裏目に出る可能性があります。

OAuth が失敗するとどうなりますか?

サードパーティ API の変更、トークンの取り消し、接続アカウントの削除などにより、Medium ユーザーのリンクされた Google または Twitter ログインが失敗すると、そのユーザーは事実上ロックアウトされます。ユーザー名とパスワードの並列ログインを提供するサービスとは異なり、Medium には当初、OAuth ベースのアカウント用に設定された 2 番目のログイン方法がありませんでした。

よくある失敗には次のようなものがあります。

• Twitter API の変更により、ログイン リダイレクトが中断されます。
• ユーザーが自分の Google アカウントを削除またはアクセスできなくなった。
• Medium のバックエンドからの予期しないエラーが発生し、OAuth 検証を完了できませんでした。

その結果は？ほとんどまたはまったく警告なしに、アカウントへのアクセスが即時かつ無期限に失われます。

変化: OAuth アカウントのパスワード リセットのリクエスト

ログインに失敗し、代替手段がない状況に直面した多くのユーザーは、Medium のサポート チームに助けを求めました。驚いたのは、Medium の返答が「パスワードを忘れた場合」リンクの使用を提案したことでした。理論的には、初期パスワードを持たないアカウントにはこのリンクは適用されるべきではありません。

この回避策により、いくつかの問題が発生しました。

1. セキュリティ上の懸念:ユーザーがパスワードを設定したことがない場合、正確に何をリセットするのでしょうか?
2. ユーザビリティの内訳:ユーザーは、パスワードのリセットが OAuth アカウントの取得にどのように役立つかについて混乱していました。
3. 信頼の喪失: 「偽って」アクセスするように言われたことで、プラットフォームのアカウントの完全性に対する信頼が低下しました。

いくつかのレポートでは、ユーザーは、回復用電子メール (幸いにも以前のアカウント作成時に自動リンクされていた) を使用してパスワードをリセットすると、OAuth を完全にバイパスして、電子メールと新しいパスワードを使用してログインできると述べています。皮肉なことに、削除することは、プロセスへの不満から完全にアカウントを削除する前段階となることがよくありました。

ユーザーがアカウントを削除するのはなぜですか?

パスワードをリセットして次に進んでみたらどうでしょうか?という疑問が生じます。 Medium のようなプラットフォームに投資するライターやクリエイターにとって、アイデンティティは重要です。ログインプロセスが壊れると信頼が失われます。ユーザーが従来とは異なる方法でアクセスを取得すると、多くのユーザーが次の理由からアカウントを削除することを選択します。

• データ管理:ログイン方法が突然失敗する可能性がある場合、データのセキュリティについてはどのような保証がありますか?
• プラットフォームの信頼性:作成者は、より堅牢な ID およびアクセス管理システムを期待しています。
• 透明性の欠如: Medium は、OAuth アカウントが舞台裏でどのように管理されているかを明確に伝えていません。

Medium の設計上の欠陥: 冗長性のない依存関係

中心的な問題は、OAuth ログインが決して失敗しない、またはユーザーが常に元の資格情報にアクセスできるという誤った前提にあります。サードパーティ認証のみに依存するプラットフォームでは、サービスがアクセスを遮断したり機能不全に陥ったりした場合、ユーザー アカウントが孤立する危険があります。

最新のベスト プラクティスには次のようなものがあります。

• OAuth ユーザーが登録時または後で設定を通じて 2 番目のパスワードを設定できるようにします。
• バックアップ コード、2FA、電子メール確認など、複数の回復オプションをユーザーに提供します。
• ソーシャル ログイン方法のアカウント回復に関する明確な UX を提供します。

Medium は部分的な修正を実装しましたが、初期の設計では多くのユーザーがデジタル上の曖昧な状態に置かれ、最終的に技術的に決して持ったことのないパスワードをリセットする前に、サポート ページや Reddit スレッドを探し回る必要がありました。

法的および倫理的影響

技術的な制限を超えて、ユーザーの同意、個人データへのアクセス、アイデンティティ管理の透明性に関する倫理的な懸念があります。プラットフォームがユーザーのコンテンツと個人データをサードパーティのログインに結び付ける場合、プラットフォームはユーザーに回復への明確で回復力のあるパスを提供する義務があります。

さらに、GDPR や CCPA などの規制に基づき、ユーザーは自分のデータにアクセスし、削除する権利を有します。ユーザーのアカウントへの入力をブロックすると、パスワード リセットのトリックなどの回避策が見つからない限り、これらの法的権利もブロックされます。

このため、プラットフォームはフォールバック ログイン メソッドを自動的に作成する必要があるのか​​、それとも OAuth ソースのアカウントの不適切な処理なのかという疑問が生じます。ユーザーの期待が単なるアクセスから透明性と制御へと進化するにつれて、プラットフォームもそれに応じて適応する必要があります。

コミュニティ主導のソリューション

興味深いことに、この問題に対する解決策の多くは、Medium の公式ドキュメントからではなく、熱心なユーザー コミュニティから現れました。 Reddit、Hacker News、独立系テクノロジー ブログなどのハブが、回避策、ステップバイステップ ガイド、警告記事のカタログ化を開始しました。

• Reddit のスレッドでは、パスワードのリセットを通じてアカウント設定にアクセスする方法が詳しく説明されています。
• ブログ投稿では、 OAuth を使用する場合は新規ユーザーに直ちにパスワードを設定するよう警告しています。
• 開発者は、失敗した OAuth フローとドキュメント エラーを監視するブラウザ スクリプトと拡張機能を作成しました。

コミュニティ主導の透明性は、OAuth の罠に陥ったユーザーにとっての命綱となりました。これがなければ、多くのユーザーが永久にアクセスできなくなっていたでしょう。

中規模プラットフォームや同様のプラットフォームでは何ができるでしょうか?

ユーザーの信頼を構築し、アカウントの整合性を維持するには、プラットフォームは次の変更を考慮する必要があります。

• OAuth ユーザーに、サインアップ後にパスワードを設定するオプションを提供します。
• リカバリーコード、セカンダリ電子メール、SMS などのバックアップログイン方法を追加します。
• サードパーティプロバイダーで問題が発生したり、サポートが終了したりした場合にユーザーに通知します。
• ログインが失敗した場合でも、アカウントを削除したりサポートに連絡したりするための直接の経路を提供します。

これらの変更は実装上は小規模ではありますが、ユーザー エクスペリエンスに大きな影響を与え、信頼違反による離脱を減らすことができます。

結論

ストーリーテリングとコンテンツ所有権に誇りを持っているプラ​​ットフォームにとって、OAuth ログイン失敗に対する Medium の対応は、テクノロジー業界がサードパーティ ID プロバイダーに過度に依存しているという広範な問題を浮き彫りにしています。これらの方法は便利ではありますが、思慮深いフェイルセーフと明確な回復パスを組み合わせる必要があります。ユーザーがデータの自律性とアクセス制御をますます重視するようになっているため、プラットフォームは透明性と復元力でユーザーに対応する必要があります。

ログイン システムを設計する開発者であっても、公開先を選択するライターであっても、この教訓は依然として重要です。緊急時に備えて窓が開いていることを確認せずに、デジタル ID への単一のドアを決して信頼してはなりません。