メールアドレスとパスワードでの会員登録にはメールアドレスの本人確認の実装を忘れずに
メールアドレスとパスワードを用いて会員登録をするアプリケーションにおいて、メールアドレスとパスワードで会員登録する際にメールアドレスの本人確認を実装する必要性について検討します。
自分のメールアドレスで他のユーザが会員登録することを防ぐ
メールアドレスの本人確認を行わないと、自分のメールアドレスで他のユーザがアカウントを作成することが可能です。もし自分のメールアドレスで他のユーザがアカウントを作成しかつ自分のメールアドレスで他のユーザがアカウントを作成1つのメールアドレスで1つのアカウントしか作成できない場合(多くのアプリケーションはこの仕様になっていると思います)、自分のメールアドレスでアカウントを作成しようとしたときにそのメールアドレスですでにアカウントが作成されているためアカウントが作成できないというエラーが発生し、自分のメールアドレスでアカウントを作成することができなくなります。会員登録時にメールアドレスの本人確認をすることで上記事象が発生するのを防ぐことができます。
誤って自分自身のメールアドレス以外で会員登録することを防ぐ
パスワードを忘れたときにパスワードの再設定を登録したメールアドレスを送信するというのがよくある仕様ですが、もし誤って自分のメールアドレスでないメールアドレスで会員登録をしようとしてしまい、メールアドレスの本人確認をせずにそのメールアドレスで会員登録がなされてしまった場合、登録したメールアドレスが自分のメールアドレスでないためパスワードの再設定を行うことができません。また登録したメールアドレスが他人のメールアドレスだった場合にはメールを受け取った人がパスワードを変更することができてしまい、アカウントを乗っ取ることが可能になってしまいます。また誤って登録したメールアドレスを所持している人が能動的にパスワードの再設定を行ってアカウントを乗っ取ることも可能です。会員登録時にメールアドレスの本人確認をすることで上記事象が発生するのを防ぐことができます。
Discussion