OpenIDによる認証は本当は怖いか?

ZIGOROuさんの記事経由でmitani1207の日記「本当は怖いOpenIDによる認証」にたどり着いた。

たぶん、結構、一般的な感情だと思うので、ちょっとつっこみ。

外部サイトがパスワードをどう管理しているかはわからない。もしかしたら、生でDBに保存してあって、管理者がSELECT * FROM USER_TABLEとかで簡単にとれちゃったりするかもしれない。これは課金情報やプライベートなデータを扱っているサイトにとっては心配だ。mitani1207の日記「本当は怖いOpenIDによる認証」

これって、実はOpenIDに限った話ではありませんよね。ASP全般に言えます。

パスワードリセットをした時に、私が入力したパスワードを送ってくるようなサイトは、とっても恐ろしいです。そもそも、パスワードのような情報を復号可能な形でとっておくのは論外でしょう。

どんなサイトの認証でも受け入れるのは危険
ちゃんとID&パスをセキュアに管理しているサイトの認証だけ受け入れるようにすべき
「ちゃんとしてる」かどうか監査する必要がある
オレオレ監査じゃ意味ないので、第三者が監査するのがベスト
プライバシーマーク的な「セキュアIDプロバイダーマーク」とか作り出しちゃえばいいんじゃないの。日本人はそういうの好きでしょう。

ここで、レピュテーションの出番です。

一般的にレピュテーションは、Yahoo! Auction のみたいなことを想定される方が多いですが、私はもう少し言葉を広く使っていて、「監査」もその範疇に含めています。ただ、「監査」は、その「監査」した時点のことしか語りませんから、その後の状態を合わせて考える意味で、「コミュニティによるレーティング」も合わせて使って行くべきであると思います。

また、監査項目は、パスワード管理だけでは足りませんね。一般的には、そのOP(IdP)が、自らが発行するアサーションに関して主張している事項の検証をしなければならないでしょう。というわけで、監査項目には少なくとも

  • 登録品質を担保するための手段と運用
  • 認証品質を担保するための手段と運用
  • システム全体のセキュリティ品質

などが入っているべきだと思います。

課金情報など重要情報はOpenIDの認証だけで認証するべきでない
自サイト内だけで管理するパスワードを別で用意

これはそうでも無いと思いますよ。
自サイト内だけで管理するパスワードの管理基準、運用品質、パスワード(を含む認証)の強さを総合して考えるべきだと思います。

たとえば、OpenIDのアサーションの中に、「対面で写真付き身分証明書を使って登録し、セッションの認証はハードウェアトークンとバイオメトリクスを利用、HashにはSHA256を利用」なんて書いてあり、そのOPが信頼に足るところであったら、大概のインターネットコマースサイトよりも認証品質は高いと考えて差し支えないでしょう。なので、むしろ、このOpenIDの認証書(アサーション)を自サイトパスワード認証よりも優先して使うべきということになると思います。

こうした、アサーションの品質については、PAPEだとかAQEだとかの規格も合わせてご覧になるとよろしいかと思いまする。

てなところで、いかがでしょうか、ZIGOROuさん?(と、斜めから振ってみる。)

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください