Удаление учетной записи Medium при сбое входа в систему OAuth (Google/Twitter) — как пользователи принудительно сбрасывали пароль

Вход в свою учетную запись Medium с использованием поставщика OAuth, такого как Google или Twitter, удобен, пока вдруг это не станет таковым. Для многих пользователей неправильный вход в систему OAuth может стать не просто небольшим раздражением; это может привести к потере доступа к многолетнему писательскому труду, участию и идентичности. В некоторых недавних случаях пользователи, столкнувшиеся с недоступными параметрами входа в систему OAuth, были вынуждены выполнить сброс пароля — просто для того, чтобы удалить свои учетные записи Medium.

ТЛ;ДР

Когда на Medium происходит сбой входа в систему OAuth через Google или Twitter, пользователи теряют доступ к своим учетным записям. Восстановление доступа часто включает в себя запрос на сброс пароля — шаг, который обычно не связан с учетными записями только OAuth. Это не только сбивает с толку пользователей, но и вызывает обеспокоенность по поводу автономности данных и зависимости платформ от сторонней аутентификации. В тяжелых случаях у пользователей не было другого выбора, кроме как сбросить пароли только для того, чтобы удалить свои профили.

Понимание системы входа в систему OAuth и Medium

OAuth, или открытая авторизация , — это протокол, который обеспечивает безопасный делегированный доступ к ресурсам сервера. На практике это то, что позволяет вам нажать «Войти через Google» на таких платформах, как Medium, даже не вводя пароль, специфичный для Medium. Ему доверяют и он широко используется, но он не лишен рисков.

Medium, как и многие контент-платформы, предлагает вход по OAuth через Google, Twitter и ранее Facebook. Пользователи выбирают этот быстрый вход в систему, потому что это избавляет их от необходимости запоминать еще один пароль. К сожалению, это удобство может иметь неприятные последствия, когда у внешнего сервиса возникают проблемы или когда API-интерфейсы изменяются без обратной совместимости.

Что происходит, когда OAuth не работает?

Когда связанный вход в Google или Twitter пользователя Medium не удается — например, из-за изменений в стороннем API, отзыва токенов или удаления подключенной учетной записи — пользователь фактически блокируется. В отличие от сервисов, предлагающих параллельный вход по имени пользователя и паролю, в Medium изначально не было установлен дополнительный метод входа для учетных записей на основе OAuth.

К частым неисправностям относятся:

• Изменения API Twitter нарушают перенаправление входа в систему.
• Пользователи удаляют или теряют доступ к своей учетной записи Google.
• Неожиданные ошибки серверной части Medium, не позволяющие завершить проверку OAuth.

Последствия? Немедленная и бессрочная потеря доступа к учетной записи практически без предупреждения.

Изменение: запрос на сброс пароля для учетных записей OAuth

Столкнувшись с ошибками входа в систему и отсутствием альтернатив, многие пользователи обратились за помощью в службу поддержки Medium. Неожиданностью стало то, что в ответе Medium было предложено использовать ссылку «Забыли пароль» , которая теоретически не должна применяться к учетным записям без первоначального пароля.

Этот обходной путь вызвал несколько проблем:

1. Проблемы безопасности: если пользователь никогда не устанавливает пароль, что именно он сбрасывает?
2. Проблемы с удобством использования: пользователи не понимали, как сброс пароля может помочь восстановить учетную запись OAuth.
3. Потеря доверия. Когда им сказали «подделать» доступ, это снизило уверенность в целостности учетной записи платформы.

В нескольких отчетах пользователи заявляли, что как только они сбросят свой пароль с помощью резервного адреса электронной почты (который, к счастью, был автоматически связан при более раннем создании учетной записи), они смогут войти в систему, используя свой адрес электронной почты и новый пароль, полностью минуя OAuth. По иронии судьбы, это часто было предварительным шагом к полному удалению учетной записи из-за разочарования в этом процессе.

Почему пользователи удаляют свои учетные записи?

Возникает вопрос — а почему бы просто не сбросить пароль и не двигаться дальше? Для писателей и авторов, которые инвестируют в такие платформы, как Medium, идентичность имеет значение. Нарушенные процессы входа в систему подрывают доверие. Как только пользователи получают доступ нетрадиционными способами, многие решают удалить свои учетные записи по следующим причинам:

• Контроль данных: если метод входа в систему внезапно может дать сбой, какие гарантии безопасности данных существуют?
• Надежность платформы. Авторы ожидают более надежной системы управления идентификацией и доступом.
• Отсутствие прозрачности: Medium не объяснил четко, как осуществляется скрытое управление учетными записями OAuth.

Недостаток дизайна Medium: зависимость без избыточности

Основная проблема заключается в ошибочном предположении, что вход в систему OAuth никогда не завершается неудачей или что пользователи всегда будут иметь доступ к своим исходным учетным данным. Платформы, которые полагаются исключительно на стороннюю аутентификацию, рискуют потерять учетные записи пользователей, если эти службы отключат доступ или дадут сбой.

Некоторые современные передовые практики включают в себя:

• Разрешение пользователям OAuth устанавливать дополнительный пароль при регистрации или позже через настройки.
• Предоставление пользователям нескольких вариантов восстановления, таких как резервные коды, 2FA или подтверждения по электронной почте.
• Обеспечение четкого пользовательского интерфейса по восстановлению учетной записи для методов входа в систему через социальные сети.

Medium реализовал частичные исправления, но первоначальный дизайн оставил многих пользователей в цифровом подвешенном состоянии — они были вынуждены просматривать страницы поддержки и темы Reddit, прежде чем в конечном итоге сбросить пароль, которого у них технически никогда не было.

Юридические и этические последствия

Помимо технических ограничений, существуют этические проблемы, касающиеся согласия пользователей, доступа к личным данным и прозрачности управления идентификацией. Если платформы связывают контент и личные данные пользователя со сторонним входом в систему, они обязаны предоставить пользователям четкий и надежный путь к восстановлению.

Кроме того, в соответствии с такими правилами, как GDPR и CCPA, пользователи имеют право на доступ и удаление своих данных. Блокирование входа пользователей в свою учетную запись также лишает их этих законных прав, если только не будет найден обходной путь, например трюк со сбросом пароля.

Возникает вопрос: должны ли платформы автоматически создавать резервные методы входа в систему или это некорректная обработка учетных записей, использующих OAuth? Поскольку ожидания пользователей развиваются от простого доступа к прозрачности и контролю, платформы должны соответствующим образом адаптироваться.

Решения, ориентированные на сообщество

Интересно, что многие решения этой проблемы были взяты не из официальной документации Medium, а из сообществ увлеченных пользователей. Такие центры, как Reddit, Hacker News и независимые технологические блоги, начали каталогизировать обходные пути, пошаговые руководства и предупреждающие статьи.

• В темах Reddit подробно описано, как получить доступ к настройкам учетной записи через сброс пароля.
• Сообщения в блогах предостерегают новых пользователей о необходимости немедленно установить пароль при использовании OAuth.
• Разработчики написали скрипты и расширения для браузера для отслеживания сбоев потоков OAuth и ошибок документов.

Прозрачность, поддерживаемая сообществом, стала спасательным кругом для пользователей, попавших в ловушку OAuth. Без него многие пользователи навсегда потеряли бы доступ.

Что средние и подобные платформы могут сделать лучше?

Чтобы завоевать доверие пользователей и обеспечить целостность учетной записи, платформам следует учитывать следующие изменения:

• Предоставьте пользователям OAuth возможность установить пароль после регистрации.
• Добавьте резервные методы входа , такие как коды восстановления, дополнительные адреса электронной почты или SMS.
• Уведомляйте пользователей , когда у сторонних поставщиков возникают проблемы или прекращается поддержка.
• Предложите прямой путь к удалению учетной записи или обращению в службу поддержки даже в случае сбоя входа в систему.

Эти изменения, хотя и незначительные по реализации, могут существенно повлиять на взаимодействие с пользователем и снизить отток клиентов из-за нарушений доверия.

Заключение

Для платформы, которая гордится рассказыванием историй и владением контентом, обработка Medium ошибок входа в систему OAuth подчеркивает более широкую проблему, связанную с чрезмерной зависимостью технологической отрасли от сторонних поставщиков удостоверений. Несмотря на удобство, эти методы должны сочетаться с продуманными средствами обеспечения безопасности и четкими путями восстановления. Поскольку пользователи все больше ценят автономность данных и контроль доступа, платформы должны отвечать им прозрачностью и устойчивостью.

Независимо от того, являетесь ли вы разработчиком, разрабатывающим систему входа в систему, или писателем, выбирающим место для публикации, этот урок остается решающим: никогда не доверяйте ни одной двери своей цифровой личности, не убедившись, что осталось открытое окно на случай чрезвычайной ситуации .