OpenID.ne.jp の続き。
認証情報共通化の意義 で認証情報を共通化する意義が非常に大きいと説明したつもりです。Internet 上ではなく、intranet 上での認証情報の共通化は非常に簡単な話です。ぶっちゃけやればいいだけです。
ですが、Internet 上となるとどうでしょう?
OpenID というしくみがありますが、これの問題点はどんな認証 server であろうとそれを許可してしまうことだと思っています。利用する認証 server が信頼すべきでないようなものであった場合にはどうなるのでしょうか?
現状では、どの認証 server で認証するかは user に選択権がゆだねられていると認識しています。ですが、それを本当に user に任せていいのでしょうか?
User がより安全な認証を選択するためには少なくともその指針となるべきものが必要になります。というより、むしろ強制するくらいが適切だと思っています。現状ではそういったものが用意されていないのが 1つの問題点です。
二点目として、商用 system を検討します。商用 system の場合を検討します。その site で認証情報を管理せず、他の認証 server を利用する場合には security level はその認証 server の security level に依存します。
共通化自体は問題ないんですが、問題点はどんな認証 server であろうと認証ができてしまうところが非常に大きな問題だと思っています。
脆弱な認証 server を利用していた場合にはどうなるでしょう?その認証 server で認証可能なすべての site で行う作業すべてが危険にさらされます。
現実問題として、そのような状態では金銭のやり取りが発生する site では採用できないですね。ここに現在の OpenID の非常に大きな問題が横たわっていると思います。
商用 site まで利用するのであれば、確実に信頼できる認証 server のみ認証できるしくみが必要です。そこを解決しない限り、OpenID が商用 site で採用されることは無いだろうと予測しています。