Identity Provider への道

パスワードによるログイン管理の陳腐化と 制度整備の検討

私もパスワードによるログイン管理をしているサイトとの関わりがある。当初強固なパスワードポリシーとして記号必須にしたら、日常的にパスワード忘れる人続出、サイトを移動して「パスワードを覚える」が効かない移行をした日にはそれはもう大量の「パスワード忘れました」問い合わせが…そんな嫌な経験。

以前は「パスワードはメモしないようにしましょう」とか言われていたけど、そんなことをしようとしたら明らかに複数サイトで同一パスワードを使うしかない。となれば21世紀においては、少なくともWebサイト利用のためのパスワードについて「できればランダムなパスワードを設定してメモしましょう」というのが戦略としては正しいだろう。その上でTPMの力などを借りつつブラウザにパスワードを覚えさせられればベスト。

さて、OpenIDのような仕組みで Identity Provider を作るというのは、そのIdentity Provider に設定したパスワードを「他のサイトでは使わない」というリテラシーが必要になる。…しかし専門家でない人にそんなことを徹底する方法はとても思いつかない。見た目でどう区別をつけるというのか。

今のテクノロジーで可能性があるとすると、EVSSL の証明書発行と Identity Provider の利用を一体化することかもしれない。でも EVSSL はすでに運用始まってるから、IdentityProvider専用SSL証明書を定義して、ブラウザを更新してもらって、アドレスバーが"青くなった時だけあなたの一番大事なパスワードを使いなさい" とか?

そんなことを考えると結局のところ CardSpace 頑張れと個人的には思う。CardSpace と OpenID の連携が自動的に行われるようになる日は近いと信じている。

広告

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

%d人のブロガーが「いいね」をつけました。