Q&A
「ワンパスワード」というのはOpenID等の「一つのアカウントで複数のサイトにログインする」ことではなく、「同じパスワードを複数のサイトで使いまわす」ことを指していますか?
タイトルの内容についてなのですが実装では無くユーザとしての質問です。
質問内容は以下の2点です。
・ソーシャルログインで使用している技術はユーザ側でわかるのか?(OAuth or OpenID or OpenID connect)
・ワンパスワード管理は理に適っているのか?
食べログ/google/yahoo/mixi/pixiv/ニコニコ動画/twitter/facebook/ドミノピザ....etc
色々なサービスが混在しパスワードを管理するのも一苦労です。
なのでワンパスワードのみの管理で済むソーシャルログインと言うのでまとめてしまいたいと思っています。
しかし調べてみるとソーシャルログインにも大別して OAuth と OpenID の二つがあるらしい。
特徴として
OpenID は紹介状の様なもの、OAuth は認証として合鍵を渡すようなものとして使われ
同じ認証でも全く異なるものだと言う事は理解しました。
少なくともOAuthを使ったソーシャルログインはしたくないのですが、これはユーザからみてどちらの技術を使っているというのは分かるものなんでしょうか?
またワンパスワードはやってて問題ないものなんでしょうか?(サービスが簡単に終ると入れなくなるって言うのは分かるのでfacebook/twitter/google/yahooのいずれかを使おうと思っています)
回答1件
0
ベストアンサー
ソーシャルログインで使用している技術はユーザ側でわかるのか?
基本的にユーザーの端末(ブラウザ等)を通して認証が行われることになるので、その通信内容やURLを見ることでわかることが多いとは思います。
が、そもそもTwitterのOAuthやYahooのOpenIDのように、いずれかの技術にしか対応していないIDプロバイダであれば、「このIDでログインできる=○○という技術を使っている」と考えることはできます。
ワンパスワード管理は理に適っているのか?
OpenID等の「一つのアカウントで複数のサイトにログインする」ことの意で書きました。
実質一つのパスワードで複数のサイトにログインできるから、危険ではないか、ということでしょうか。
同じパスワードを使いまわすことが問題なのは、万が一パスワードを入力した相手が悪意を持っていた場合や、パスワードが盗まれた場合、使いまわしていた他のサイトにもログインできてしまうからです。ソーシャルログインの場合、それぞれのサイトに渡されるトークンはその時そのサイトにしか使えませんから、そのトークンを利用して別のサイトにログインすることはできません。
もちろん十分に長く複雑でランダムなパスワードをサイトごとに覚えて、しかも定期的に変えることができるのであればそれに越したことはないでしょうが、実際のところそれは難しいです。であれば、一つのアカウントだけ可能な限り安全な運用をして、そのアカウントで他のサイトにログインするのが、現実的な解なのかなと思います。
あ、LastPassや1Passwordのようなパスワードマネージャを使うというのもアリですね。
少なくともOAuthを使ったソーシャルログインはしたくない
「OAuth は認証として合鍵を渡すようなもの」だからでしょうか?
合鍵と言っても、そのサービスにおける全ての情報にアクセスできるとは限りません。「紹介状のようなものにだけアクセスできる合鍵」であれば、OpenIDと似たようなものだと思いませんか?
(実際OpenID ConnectはOAuthと同じような手順を踏みます)
投稿2015/04/17 12:52
総合スコア47
こんな内容の質問に対して真摯に答えて頂きありがとうございます。
自分の中では
OAuth=サービスを提供する際に用いる技術(例えばTwitterでの外部アプリ認証など)
OpenID=ログイン時のアカウントID/パスワードを一つのアカウントID/パスワードで運用できる技術(もちろん利用サイトが対応している事が前提ですが)
と言う利用者としての考えを持っていました。
LastPassに関しては初めて知りました。
これは面白いですね。
仕組みは良くわかりませんが一つのパスワードで複数のサイト管理が出来るのは理想どおりなので一度試してみたいと思います。
ありがとうございました。
あなたの回答
tips
プレビュー
