アマゾン。メルアドをそのままユーザIDとする仕組みはどうなのか？

アマゾンの各種サービスを受けるためにユーザ登録しますが、
メルアドをそのままユーザIDとして登録しています。

以前のログイン手続きは、ログイン時に
ユーザID（としてのメルアド）の入力　→　パスワードの入力　→　合致すればログイン成功
となっていましたが、いつの頃からか
ユーザID（としてのメルアド）の入力　→　パスワードの入力　→　ユーザID（としてのメルアド）へ認証メールが送信されてくる　→　その認証メールに記載された認証コードを入力　→　合致すればログイン成功
という手順となりました。

この手法って、そのメルアドが使えなくなった時、認証メール（認証コード）を受信できないのでログインできなくなります。

この「メルアドをそのままユーザIDとして使用する」という仕組みはWEBシステムとして手落ちではないかと思いますが、WEBのお仕事をされている皆様としてはどのように思われますでしょうか？

No.2 回答者： aidni1n0d9ia8 回答日時： 2025/03/16 09:13

ありますわよ。

①メールアドレスに認証コード。

②authenticatorと云う認証コード生成アプリで払い出す。

③そして登録電話番号へのSMS。

2段階認証にこの3種類が。

メールアドレスが変更になるなら、その他の方法へ認証方式を切り替えてから早目にカスタマーサポートへ届け出て

この回答へのお礼

ご回答ありがとうございます。

ご提示された１，２，３の手順は、今はそのようになっているのかもしれません。

でも私がアマゾンに登録した当時（2022年ごろ）は、ログインIDとしてのメルアド登録、自分で決めたパスワードの登録、この二つだけでユーザ登録できました。（回答者No1様への回答御礼に記載したように、アマゾンの超ヘビーユーザならば
「このサービスを受けたいならば、スマホ番号の登録が必要です」
「このサービスを受けたいならば、生年月日の登録が必要です」
「このサービスを受けたいならば、クレジットカードの登録が必要です」
などなど、さまざまな個人情報（と紐づけ可能なもの、データ）の登録を要求されたかもしれません。それらから本人確認の代替手順ができたかもしれません。

しかしながら、私が登録した当時はメルアドとパスワードの登録だけでユーザ登録が完了したのです。

ですので、
「メルアドが変更になったら、本人確認ができません、ハイさよなら」
というのはアマゾンの手落ちかと。

まあ、こんなこと虫けらユーザがいくら言っても少数意見なのかもしれませんが。

お礼日時：2025/03/16 09:22

No.1 回答者： yoshimasa2000 回答日時： 2025/03/16 08:43

手落ちというか、セキュリティレベルが向上しているといえます。

仮にメアドとパスワードが流出しても、その2つではログインできません。

この流出対策が認証コードであり、いわゆる二段階認証と言われるものです。

セキュリティレベルがあがるのはよいことだと思います。

ユーザーは、メールアドレスが使えなくならないように留意する必要がありますが、その手間を惜しまないことで、不正ログインの可能性を減らせます。

また、私の記憶では、認証コードは携帯のSMSでも受信できたように思いますが、SMSの選択肢はありませんでしたか。

電話番号とメアドのどちらでも可能ならユーザーもラクになると思うんですが、なかったですかね？

この回答へのお礼

ご回答ありがとうございます。

>ユーザーは、メールアドレスが使えなくならないように留意する必要がありますが、その手間を惜しまないことで、不正ログインの可能性を減らせます。

完全無欠なユーザならそういう事もできましょうが、ユーザIDとして使うメルアドに、フリーメルアド（Gメール、ヤフーメールなど）をあてがうことはよくあります。
まあ、完全無欠なユーザは、フリーメルアドをユーザIDとして登録する、ということはないのでしょうけど。

>また、私の記憶では、認証コードは携帯のSMSでも受信できたように思いますが、SMSの選択肢はありませんでしたか。

アマゾン社に電話問合せをしたのですが、そのような選択肢は提示されませんでした。
「ユーザIDとして登録していたメルアドが今は使えないですって？
　じゃあ、本人確認のしようがありませんね
　メルアドの変更もできません。なぜなら本人確認ができませんので」
との返答でした
（まあ、これ以外にももう少しやり取りはあったのですが、またの機会にします。それにしてもアマゾンのテレホンオペレータが、日本人の苗字を名乗っていた割には、すごく「カタコトの日本語」を喋っていたのが気になりました。帰国子女とか、日系三世とかでしょうか？）

まあ、そのユーザがよほどアマゾンへの依存度が高く、買い物から映画鑑賞、ペイTV、子供向けのアニメチャンネル、ホームページ用のサーバレンタル、などなど、何から何までをアマゾンに依存している超ヘビーユーザであり、アマゾン側からすれば超お得意様ならば、メルアドに始まって、住所、氏名、年齢、職業、電話番号、勤務先、保険証番号、マイナ番号、彼氏彼女の名前、結婚歴、離婚歴、浮気歴、初めて飼ったペットの名前、小学校のクラス担任の名前まで何から何まで個人情報をアマゾンに登録しているでしょうから、そういったもので本人確認できるのかもしれません。
そういうユーザに対してはSMS認証なんて初歩の初歩として対応してくれるかもしれません。

しかし私はたった一つのサービスを受けるためだけに登録していた超ライトユーザ（アマゾン側からしたら軽くあしらっても構わないユーザ）でしたので
「メルアドが使えない？　本人確認できない？、はいさよなら」
でした。

お礼日時：2025/03/16 09:08