メールアドレス確認無効化のメリットとデメリット

先日、 Mastodon のメールアドレス確認を無効化する設定方法 について書いた。

メールアドレス (以下、メアド) の確認を無効化することにより、架空のメアドで登録することが可能になる (ユーザ登録フォームからメアド入力欄そのものを消すのも比較的簡単そうだ) 。これは果たして本当に有用なのか、考えてみた。

結論を先に書いてしまうと、メアド確認無効化は、パスワードリセット不可になることが、管理者にとって大きなデメリットになるかもしれない。従って普通の用途のインスタンスには、手放しにお勧めできない。リスクを覚悟の上で採用を検討すべきだ。

現状、メアド無効化を取り入れているインスタンスは、特殊な部類のものであることを念頭に置いてほしい。 墓場人夜 氏の運営する 2.distsn.org はもとより異常なインスタンスであるし、筆者の運営する theboss.tech は実験用途のインスタンスである。

メリット

インスタンス管理者にとって、以下のメリットがある。

メアドという個人情報を管理する必要がなくなる

一般に、管理者にはユーザの情報を保護、管理する責任が生じると考えられる。従って、ユーザから預かる情報は少しでも減らしたい。

メールの確認リンクをユーザにクリックさせる、という手間を削減できる

登録にかかる手間を減らし、登録者の増加、中途離脱率の低下が期待できる。また、システム不備によるメールの不着事故のためにユーザを逃してしまう、ということが防げる。

なお、これは管理者がユーザ増を望んでいる場合に限り、メリットといえる。お一人様インスタンスを筆頭に、ユーザ増を望まない管理者も決して少なくない (たとえユーザ登録を開放していたとしても) 。むしろユーザ増を望まない管理者の方が多い可能性もある。

デメリット

以下が考えられる。

メールによるパスワードリセットが使えなくなる

ウェブサービス利用時の常識として「異なるサービス間でパスワードを使いまわすな」といわれている。多くのパスワードを管理していると、紛失などのリスクが高まるため、リセット手段の重要性も高くなる。

もっと過激な主張として、「ウェブサービスはパスワードをもたず、ログインの都度、確認メールを送ってログインリンクをクリックさせろ」というものすら存在する。これはさすがに極端だが、そういう思想も存在する。

ともかく、メアド確認無効化により、パスワード紛失時の対応が不可能になる。ユーザは二度とログインできなくなるかもしれない。

メール通知機能が使えなくなる

Mastodon には「フォローされた時にメールで通知する」「返信が来た時にメールで通知する」などのメール通知機能があるが、これらも当然使えなくなる。

あまり活用されていない機能のような気がするが (統計をとったわけでなく実感として) 、筆者はメンションを見逃すことが多いため、返信のメール通知機能はオンにしている。

結論

冒頭に記述したとおり、パスワードリセットが使えない点は、多くの管理者にとって大きなデメリットである可能性が高い。メアド確認無効化の採用にあたってはこの点を検討すべきである。

所感

GNU social や Pleroma は、メールアドレスの確認がそもそも実装されていないそうである。それを考えると、この記事で挙げたデメリットは、気にするほどのことでもないのだろうか。