OpenIDの普及により、セキュリティ的にプラスになる面はないか少し考えてみた。

あるユーザーが認証を行う機会が非常に多くて、ID、パスワードを入力する頻度が高ければ高いとすると、それに比例してフィッシングにひっかかってしまうリスクは増大するという面がある。フィッシングにかかる確率が一定だとすれば、母数が増えるので当然のことともいえるだろう。

また回数が多くなれば多くなるほど、「認証」という行為に対してより意識が低下する傾向もある。

たとえば、認証状態の有効期限をかなり短く設定しておけば、共有のPCなどでうっかりログアウトを忘れた場合などに、他人にIDを乗っ取れてしまうリスクは減らせるが、その一方でいつもID、パスワードを入れていることで、その分そのユーザーは「認証」という行為に無意識になる傾向もある。

また、毎日いろんなサイトにログインして、その度にしっかりログアウトしてセキュリティの意識が高いつもりのユーザーなども、多数のサービスの多様なUIのログイン画面に毎回のようにID、パスワードを打ち込んでいるわけで、

そういった生活のなかのあるタイミングで誤ってフィッシングサイトのURLを踏んでしまった場合、あまり頻繁にログアウトもせずログイン状態を長期間維持する設定にしているユーザーに比べて、簡単にID、パスワードを入れてしまう可能性が高くなるのではないだろうか。

OpenIDが普及すれば多数のサイトに毎日のように複数のID、パスワードを打つ機会は必然的に減るわけで、フィッシングの観点から見るとリスクを低減するという側面もきっとある。

OpenID Providerで一度認証しておいて、ログイン状態をある程度長く維持する設定にしていれば、複数のRelying Partyへログインする際に毎回ID、パスワードを入力しなくて済むわけなので。

OpenIDの普及の度合いにもよるが、かなり普及が進んだ状況になれば、ユーザーが日々の生活のなかでID、パスワードを入力する頻度は現在に比べてかなり少なくなり、そうなるとユーザーは今よりもはるかに「認証」という行為に注意深くなり、疑い深くなるかもしれない。

また、自宅のPCでは１週間に一度しか認証（OpenID Provider上で）を行わないようになれば、つい昨日認証したばかりなのに、すぐ翌日にフィッシングサイトの偽ログイン画面が出たら「あれ？この前認証したばっかりなのに？」と、サイクルが崩れたことでフィッシングに気付きやすくなる面もあるだろう。

新しい技術はとかく減点法の視点で見られがちな面はあるけど、少しプラスの面についても探してみたいと思う。