たけまる / OpenID に向いている認証と向いてない認証

1. ユーザと現実の人間との照合 (認証側にリスクあり)
2. ユーザのトラッキング (認証側にリスクなし)

■ 1. ユーザと現実の人間との照合 (認証側にリスクあり)

ネットで訪問してきたユーザ (正確には UserAgent) を，現実世界の人間
と照合することです．たとえば，捺印した書類を事前に交わしたり，クレ
ジットカード番号を送信したりした後に発行されたユーザIDは，現実の人
間に対応していると言っていいでしょう．

ネット以前の伝統的な認証方法で例えるなら，金融機関での暗証番号や捺
印がこのひとつになります．

この種の認証では，認証する側に何らかのリスクが発生します．支払い能
力のない人物にお金を貸すことは，そのまま金融機関の損失になります．
リスクをコントロールするためには，リスク対象 (ユーザ) を把握しなけ
ればなりません．

同じように，ネット商店は代金を徴収するために，ユーザである人物に支
払い能力があることを確認しなければなりません．

# 細かいことを言うと，住基ネットのように認証される側にリスクがある
# 場合もありますが，ここでは置いておくことにしましょう．

■ 2. ユーザのトラッキング (認証側にリスクなし)

あるユーザを過去に訪問したユーザと突き合わせることです．登録に必要
な条件はほとんどなく，せいぜい電子メールアドレスを確認するくらいで
す．無料ブログサービスがユーザを区別するために行う認証は，この例で
す．

伝統的な認証で例えるなら，無料で発行されるスーパーのポイントカード
が該当します．

この種の認証は，認証する側にリスクはありません．ポイントカード発行
後に逃亡されようが，家族でカードを使い回されようが，買い物をしても
らえればそれでいいわけです．

無料ブログサービスにしても，誰がブログを書いていようが，一人でいく
つものブログを書いていようが，かまわないわけです (計算機リソースを
守るために，CAPTCHA やメール確認は行いますが)．

もちろん，OP (IdP) がいい加減だと，パスワードが漏れて twitter が荒
らされたりすることもあるかもしれませんが，弾さんの一件で分かるよう
に被害はしれています．

■ OpenID 認証局?

現時点の OpenID は，2. を対象としているのでしょう．サービスの都合で
ユーザのトラッキングを行いたい．でも，わざわざ新規登録するのは敷居
が高くて，多くの人に使ってもらえない．じゃあ，OpenID でユーザ認証す
れば，多くの人に使ってもらえるのではないか，という感じです．

認証側がリスクを負うサービスでは，そうはいきません．万が一のときに，
OP ではなくサービス提供者がリスクを負うことになります．

クレジットカードでは，カード保有者に支払い能力がなかった場合には，
カード会社が代わりに支払って，取り立てを行います (正しいよね?)．つ
まり，リスクを肩代わりしてくれます．同じように OP がリスクを肩代わ
りするようになれば，OpenID が 1. のサービスで使われるようになるかも
しれないです．

いずれにしろ，ZIGOROu さんのとこでも話題になっていたように，何らか
の OP 審査機関が登場する可能性はあるでしょうね．それが，クレジット
カードの審査機関なのか，SSL 証明書で1番の Verisign なのか，新しいプ
レーヤが登場するのか分かりませんが．