Помимо безопасности, существует также существенный недостаток, заключающийся в том, что вы не можете отправлять информацию о сбросе пароля, напоминания о пароле или что-либо еще вашему пользователю через прямое сообщение, если он не подписан на вас в твиттере. Если ваш сайт сам по себе не является клиентом для Твиттера, то вероятность того, что значительная часть ваших потенциальных пользователей не будет особенно заинтересована в том, чтобы следить за вами, скорее всего, возмущается, если им говорят, что они должны следовать за вами (или, по крайней мере, следовать смените пароль / отмените подписку), если они хотят использовать ваш сайт.
Обновление: Я забыл упомянуть ... Если вы хотите связать свою функцию аутентификации пользователя с Twitter, то почему бы просто не использовать Twitter OAuth вместо того, чтобы вообще поддерживать свое собственное хранилище паролей? Он работает довольно хорошо (за исключением кита-неудачника), очень быстр и прост для пользователей и не предъявляет никаких требований к тому, за кем он следует или не следует.