«前の日記(2005-10-18 (火)) 最新 次の日記(2005-10-23 (日))»  

まちゅダイアリー


2005-10-21 (金)

OpenID 「認証」?

Videntity.org で話題になっている OpenID について、ただのにっきで図入りの解説が書かれている。

IDはそのままで認証サーバを簡単に変えられるのなら、自分でなんちゃって認証サーバを立てることも可能。 ということは、サービス側にとっては「認証された」事自体はあまり意味が無いということか。

例えば TypeKey 認証なら、そのユーザが TypeKey のアカウントを持っていることが保証される。 .NET Passport でも同じようなもの。 もし、「はてな」「Mixi」のアカウントが外部に公開されても、そのIDとその人(「はてな」なら「はてなダイアリー」などでの活動)が結び付けられる。

でも、OpenIDの場合は、そのユーザが「どこで」「どうやって」認証されたかはあまり問題にしていない。 サービス側が判断できるのは、以前にそのOpenIDでアクセスした人と同じ人が、今回もアクセスしてきたということだけ。 サービス側が、どの認証サーバを受け入れるかを選択できるのなら、また話は変わってくるけど(この辺、要調査)。

これって、「認証システム」じゃなくて「識別システム」なんじゃないかな。

と思って OpenIDのページを見たら、ハッキリと書いてあった。

This is not a trust system. Trust requires identity first.

なるほど。少しスッキリ。 「信頼 (Trust) 」に基づいた「認証 (Authentication) 」を提供するには、まず「識別 (Identification) 」が必要ってことか。

「識別」と「認証」、この違いを理解しないで、「はてなもOpenIDに対応したら…」とか考えてもダメなんだろうな(自戒)。 たださんの言う、「大事な情報には使わないほうがよろしい」と言うのは、利用者側だけでなくサービス側にとっても成り立つっぽい。

例えば、OpenIDで認証できた人だけ、日記へのツッコミを許可するというのはあまり意味が無いのかも。

追記 (2005-10-22)

OpenIDにおける認証って奴の解説が分かりやすい。

OpenID自身がハッキリFAQで言ってるわけだけど、結局OpenIDってのは、「あるURLが認証したユーザーであること」を保証しているだけなんだよな。それが信用できるのかどうかは分からない。hotmailとかyahooメールのアドレスが信用できるなら信用してもいい、というレベル。yahooメールで思い出したけど、DomainKeysと良く似てるよな。Fromが詐称されていないことを保障してくれる、でも、そのFromを信用できるのかどうかについては何も語っていない。2chのトリップのようでもある。

OpenIDをインフラとして、その上でどのように信頼関係を作っていくかが鍵みたいね。 引用した文書の続きでも書かれているけど、その方法としては認証サーバにランク付けする (X.509的) とか、ユーザが他のユーザを認証する (PGP, Mixi, Slashdot的) とかが考えられるみたい。 Videntity.org は後者のアプローチ。

Tags: memo
本日のツッコミ(全3件) [ツッコミを入れる]
ただただし (2005-10-21 (金) 02:49)

認証サーバにランク付けをするサービスが出てくるかもしれませんね

Spiegel (2005-10-21 (金) 03:43)

要するに OpenID 自体には「信用モデル」がないってことですよね。であるなら、OpenID に X.509 や OpenPGP などの信用モデルをリンクさせることで「認証」も可能になってくると思いますよ。<br>ついでに言えば最近さっぱり話題にならない FoaF ともリンクできればなぁ...

まちゅ (2005-10-22 (土) 04:30)

Videntiry.org (落ちている?) では、信頼関係を表すFOAFが提供されているみたいです。<br>http://kokogiko.net/m/archives/001353.html