自分の話だけど、最近いろんな新しいサービスを使いすぎてIDとパスワードが破綻している。

いくつかIDとパスワードのパターンを分けているのだが、そのパターンが多すぎるとどのサービスにどのパターンを使っているかを覚えられなくなるし、単純にパスワードを忘れることも出てくる。

ここで現実的な解として考えられるのは、パスワードを３パターンくらいまでに絞ってサービスのレベルごとに使い分けるケース。（※あくまで個人的に考えている現実解であり、推奨しません）

理想は全サービスでID、パスワードを分けられた方がいいのでこのやり方を他人に薦めるわけではないけれど、パスワードが覚えられないから３パターンくらいに絞る、というような現実的な解を方法としてとる場合は、ユーザーは以下のようにせめてある程度サービスごとのレベル分けをした方がいいと考えています。

A. 金融系サービス（銀行、証券系など）
B. ポータル、インフラ系（ポータルサイト、Webメール、カレンダーなど）
C. SNS、ブログ、その他（mixi、Facebook、Twitter）

というのも、Twitterと連携したサービスでは直接TwitterのIDとパスワードを入力させるケースがまだまだ残っていて（まだOAuth使っていないところの方がぜんぜん多い）、そういったサイトにID、パスワードを預けた場合に万が一サービスの管理者が悪意を持つとそれらのID、パスワードはまるごとどこぞの悪意のある人間などに売られ、不正利用されてしまう可能性がある。

（この場合不正利用者はTwitterのID、パスワードとして入手したリストを他のサービスで片っ端から試してみるようなことをするかもしれない。ID、パスワードのリストがサービスの管理者自身から漏らされる可能性もあるので、その場合はもう脆弱性うんぬんの問題ではなくなる）

その場合、一番危険なのはユーザーがTwitterのID、パスワードを上のリストでいうAやBのレベルのものと同じ設定で使っている場合で、このようなユーザーはそのままA、Bのサービスで使っているアカウントも同時乗っ取られてしまうリスクにつながる。

銀行などは第２パスワードみたいなものを使っているので、その場合はどうにか逃れられるかもしれないが、そうでなければ即乗っ取られる。

認識してはいる人は多いと思うのだけれど、最近Twitterユーザーが増えて今後はそういったことをあまり意識していない層のユーザーも増えてくると思うので、少し心配しています。