こんにちは、ディレクター西山です。
前々回は「第三者にパスワードを漏らさない」こと、前回は「安全なパスワードを作る方法」を考えてみましたが…
・同じパスワードを色々なサイトで使うのは、楽だけど超危険、デンジャラス!
・でも、サイト毎に違うパスワードだと全部を覚えられない。
・ルールを決めてパスワードを作っても、一つ一つのサイトで定期的に変更って大変。
という感じになるかな?と思います。
今回は、それらを解決できるかも知れない「OpenID」について考えてみたいと思います。
そもそもOpenIDとは何ぞや?
OpenIDとは「一組のID・パスワード」で、別々のサイトでの認証(ログイン)を実現するしくみのことです。
OpenIDとは?
OpenID とはひとつの ID で、さまざまなウェブサービスの認証を実現するしくみです。
認証のIDとして、自分のウェブサイトや、利用しているサービスの URL を使います。
ID として利用する URL の所有者であることを証明することで、新たにアカウントとパスワードを登録しなくても、さまざまなサービスを利用できます。
(引用:http://www.sixapart.jp/about/openid/)
簡単に言えば、ログインしようとしているサイトに代わって、OpenIDの発行元がログインを代行してくれるシステムのような感じでしょうか。
例えば、Yahoo!JapanでOpenIDを取得すると、Yahoo!JapanのID・パスワードで他のサイトにログイン出来るようになります。
(この時、OpenIDを発行するYahoo!Japanを「OP(OpenIDプロバイダ)」と呼びます。あくまで例としてYahoo!Japanを使用していますが、私がYahoo!Japanを推奨しているという訳ではありません。)
これまで面倒だった新しくID・パスワードを作る必要がなくなり、サービス毎に異なるパスワードを憶えておく必要も無く、これさえあれば「パスワードを忘れた方へ」ともサヨウナラ!となるかも(笑)
ログインするのはYahoo!Japanであり、実際に利用するサービスではないので、パスワードが利用サイトに送られる(漏れる)ということもありません。
(OpenIDを利用すると、利用サイト側でパスワードを使用する機会はゼロになります。)
定期的に変更すべきパスワードはYahoo!JapanIDのパスワードなので、これもかなりの負担減になるのではないかと思います。
今年の夏にはmixiが、最近ではGoogleがOpenIDに対応したことでも話題になりました。
今後ますます「OpenIDを利用してログイン出来るサイト」が増える事が予想されます。
(OpenIDでのログインを許可するサイトを「RP(Relying Party = リライング パーティ)」と呼びます。)
これは便利ですねー!
ちょ、ちょっと待て。
もしOpenIDのパスワードが漏れたら、余計にまずいのでは?
ズバリ、その通りです。
OpenIDは「パスワードを共通利用できる」ので、利用には注意が必要です。
ある意味、ここからが本題。
例えば、あるOpenID対応サービスにYahoo!JapanIDでログインをしたとします。
ところが、それはYahoo!Japanログインにそっくりなフィッシング詐欺だった!騙された!ガックシ!コンチクショー!となってしまった…。
(そもそもOpenID対応サイトではなく、表示されたYahoo!Japanログインフォームが偽物だった)
こうなると、あなた自信の手でOpenID(及びパスワード)が悪質なサイトへ漏洩してしまいます。
その後は悪質サイトがあなたになりすまして次々と...
このようなことから、Yahoo!Japanでは「ログインシール」というもので、正規のYahoo!Japanログインフォームであることを証明する方法を用いて、ユーザーを守る手段も作っています。
(ログインシールは「利用するパソコン毎に設定する」ものです。)
OpenIDを利用することで、今までのように利用するサービスからパスワードが漏洩してしまうという事は考えにくくなりました。
ところが、フィッシング詐欺に注意しないと悪質な被害に遭う可能性も出てきます。
信頼出来るサイトでのOpenIDを利用したログインには問題ないと思いますが、ちょっと怪しげなサイトなどでログインする際には注意が必要ですね。
ケースバイケースで「OpenIDを使う場所を選ぶ」のもベターかもしれないです。
「パスワードを管理するのはもちろん、使用する際にも十分注意する」が大切ということですね。
- 終わりに -
さてさて、今回のテーマ「IDとパスワード、どう管理してますか?」について、皆さんはどう思われましたか?
「西山はいつも話が堅い。しかも長い(くどい)」と言われそうですが、WEBサービスに関わるものとして、このようなことも色々考えていますよ、ということを知ってもらえればと思っています(笑)
弊社案件でも今後ますますID・パスワードを利用したサイト・サービスを構築していくことになるのですが、その時にこのような「ユーザー目線」での考えを持っていれば、よりベターな方法をご提案出来るものと思っています。
では、次回はもっと読みやすい(?)記事を書けるように、日々ネタ探しに奔走します(笑)
お楽しみに~。