OpenID認証プラットフォームをサポートすることを最初に宣言してから16ヶ月以上が過ぎ、MicrosoftがついにOpenIDを初めて実施し、医療サイトのHealth VaultでOpenIDログインが使えるようにした。残念ながら、Health VaultはTrustbearerとVerisignという2つのOpenIDプロバイダからの認証しかサポートしない。OpenIDのオープン性はどうなったんだ？

限定導入の背後には、健康に関することは慎重に扱わなければならない、という理由がある。そのため、アクセスはOpenIDのプロバイダでも最も信用に足る数社に限定されるべきなのだ、と。これは至極当然だ。ところが、それでOpenIDに特有の問題の1つが強調される。そう、セキュリティの問題だ。

ウェブに散らばっているテキストベースのパスワードでは、きちんとプロテクトできない。ハッキングされたり盗まれたりしたパスワードでなりすまし犯罪の被害にあった話は、これまで数え切れないほど聞いてきた。ユーザーのウェブ上のプレゼンス全部（金銭や健康に関するデータを含む）がたった1つのパスワードで結ばれていたらどうだろう？　災難のもとだ。

この問題を解決しようと、これまで多くの企業が安全性を高めるさまざまな方法を編み出してきた。Trustbearerでは、身元確認のためユーザーに物理的なID「トークン」を要求する（基準を満たすIDカードをまだ持っていない場合、ユーザーは$40のUSBスティックを注文することができる）。Vidoopでは、収入を得るために広告を利用しているブラウザベースの画像認証システムを無料で提供している。その他にもいろいろなものがある。

新しい安全対策が出るたびに、システムの新しく主観的な階層が登場する。OpenIDは、「異なるウェブサイトでの複数のユーザーネームの必要性をなくし、オンライン体験をシンプルにする」プラットフォームを約束している。けれども、Microsoftは「安全な」OpenIDプロバイダを受け入れるだけではこのシステムが決して現在のフォームで統一されないことを示した。ユーザーはもうすぐ「普通の」クレデンシャルとともに「安全な」OpenIDとを覚えなければならなくなる。また別のログインを覚えることをユーザーに強いる「超安全な」IDを持つ他のプロバイダが出てきたら、どうなるのだろう？

OpenID実施が遅い、あるいは良くないと非難できる企業はMicrosoft以外にもごまんとある。GoogleはBloggerプロパティでOpenIDプロバイダになったが、主力サービスでまだそのプラットフォームを実行していない。しかし、そのプラットフォーム自体、より安全にすべきであるようだ。良いことといえば、プライベートでも安全でもないサイトでのみデフォルトフォームが受け入れられたときの単一ログインか？

[原文へ]

（翻訳：Megumi H.）