Scribble at 2024-01-17 09:54:18 Last modified: 2024-01-17 10:26:37
先日、6年前にユーザ登録した Bitbucket を再び使うとかいう話で、そんな古いアカウントなんて管理してないなと思いながら色々と調べているあいだに、Microsoft のアカウント(@live.com とか @outlook.jp とかじゃなくて、業務用のメール・アドレスで取得しているアカウント)のパスワードを変更したまま、どこにも記録しないでブラウザに保存しただけになってしまっていた。
さきほど出社していくつかのサイトへログインしようとすると、Edge がそのアカウントのパスワードを求めてくる。知らん。ということで、パスワードを改めて設定し直そうとしたら、二段階認証になってるんだよね。で、その二段階認証のトークンが発行される Microsoft Auth というスマートフォンのアプリケーションは、そもそもマイクロソフトのアカウントに正しくログインしたセッションがないと、デタラメなワンタイム・パスワードしか発行しない。
つまり、ここまでで分かる人には分かると思うが、二段階認証を使うとこうして簡単に締め出されてしまうのだ。ユーザビリティとしては、二段階認証の根本的な欠点はこれだと思う。ここまで具体的に想像はしていないだろうけど、多くの人が依然として二段階認証を使おうとしないのは、こういうリスクを予感しているのかもしれない。
なお、「SMS で本人認証すれば?」という人もいるとは思うが、残念ながら情報セキュリティ担当者のマシンというのは、もう10年以上も前からサウンドのサービスを停止させるのがディフォールトになっている。ところが、このマイクロソフトの SMS 認証というのは、スマートフォンに SMS を送信するための条件として、なにか音声を使ったロボット避けのゲームみたいなものを強制するため、対応できない。いくら Captcha が使い物にならなくなったからといって、安易に他のデバイスを要求するのは困ったものだ。音が出ないパソコンだけに限らず、これ聴覚障害者だったらどう対応すればいいのか。それとも、マイクロソフトって身体障害差を雇用しないか、顧客として認めないポリシーや習慣があるのかな・・・というわけで、音声を使った認証パターンを無視して続行してみたら、次からはパズルのようなパターンが出てきたので、それを2回ほどクリアしてようやくパスワードを再設定できた。
さて、次に iPhone と連携できなくなっている Microsoft Authenticator を連携し直そうとしたのだが、添付した画像のように、Microsoft アカウントにログインして Microsoft Authenticator を連携させるために、Microsoft Authenticator で認証する必要があるんだってよ・・・ここでも、たぶん他に選択肢があるのかもしれないが、ふつうは詰んでしまったという印象を受けてしまう。これでは、会社で Google や Dropbox のアカウントを安全に運用するために二段階認証を義務付けようにも、その後に予想されるトラブルのために僕らが忙殺されるのは目に見えている。プロのわれわれがこうやって簡単にアカウントから締め出されたり、「詰んだ」と思ってしまうような UX を平気で運用しているのだから、そんな企業を相手に最適化するというのはどうも意欲がわかない。