OpenID 「認証」？

Videntity.org で話題になっている OpenID について、ただのにっきで図入りの解説が書かれている。

IDはそのままで認証サーバを簡単に変えられるのなら、自分でなんちゃって認証サーバを立てることも可能。 ということは、サービス側にとっては「認証された」事自体はあまり意味が無いということか。

例えば TypeKey 認証なら、そのユーザが TypeKey のアカウントを持っていることが保証される。 .NET Passport でも同じようなもの。 もし、「はてな」「Mixi」のアカウントが外部に公開されても、そのIDとその人（「はてな」なら「はてなダイアリー」などでの活動）が結び付けられる。

でも、OpenIDの場合は、そのユーザが「どこで」「どうやって」認証されたかはあまり問題にしていない。 サービス側が判断できるのは、以前にそのOpenIDでアクセスした人と同じ人が、今回もアクセスしてきたということだけ。 サービス側が、どの認証サーバを受け入れるかを選択できるのなら、また話は変わってくるけど（この辺、要調査）。

これって、「認証システム」じゃなくて「識別システム」なんじゃないかな。

と思って OpenIDのページを見たら、ハッキリと書いてあった。

This is not a trust system. Trust requires identity first.

なるほど。少しスッキリ。 「信頼 (Trust) 」に基づいた「認証 (Authentication) 」を提供するには、まず「識別 (Identification) 」が必要ってことか。

「識別」と「認証」、この違いを理解しないで、「はてなもOpenIDに対応したら…」とか考えてもダメなんだろうな（自戒）。 たださんの言う、「大事な情報には使わないほうがよろしい」と言うのは、利用者側だけでなくサービス側にとっても成り立つっぽい。

例えば、OpenIDで認証できた人だけ、日記へのツッコミを許可するというのはあまり意味が無いのかも。

追記 (2005-10-22)

OpenIDにおける認証って奴の解説が分かりやすい。

OpenID自身がハッキリFAQで言ってるわけだけど、結局OpenIDってのは、「あるURLが認証したユーザーであること」を保証しているだけなんだよな。それが信用できるのかどうかは分からない。hotmailとかyahooメールのアドレスが信用できるなら信用してもいい、というレベル。yahooメールで思い出したけど、DomainKeysと良く似てるよな。Fromが詐称されていないことを保障してくれる、でも、そのFromを信用できるのかどうかについては何も語っていない。2chのトリップのようでもある。

OpenIDをインフラとして、その上でどのように信頼関係を作っていくかが鍵みたいね。 引用した文書の続きでも書かれているけど、その方法としては認証サーバにランク付けする (X.509的) とか、ユーザが他のユーザを認証する (PGP, Mixi, Slashdot的) とかが考えられるみたい。 Videntity.org は後者のアプローチ。