すでにパスワードでユーザを認証する，ということが崩壊してるわけで，いかに安価に実装できるからといって，それが今のまま進むというのはいささか甘い．また，指紋認証とか生体認証は，リスト型アカウントハッキングに一定の効果があると感じているが，これまたコストがかかる．

効果ありとされているのはワンタイムパスワードだが，誰が言い出したか「メールで一時パスワードを払い出す」という方法は，メールが確実にPC以外のデバイスに届く（PCには届かない）ということを担保できないと，正直なところ不安材料にしかならない．OTPトークンは（キー入力を片っ端から乗っ取るようなマルウェアを使われない限りは）効果ありそうだが，サービスごとに1つってのが気に入らない．

そこで，「誰のための認証なのか？」という根源的なところに立ち戻るわけだが，「本来サービスを受けたい人の責任で，IDとパスワードの管理をしている」という状態なので，OTPもサービスとユーザに紐付くのではなく，ユーザのみに紐付くようにして，当該トークンを他のサービスでも使えるようにする，というようにはできないだろうか？

正直，物理的な鍵の管理も面倒なのに，それにくわえてサービスごとに1つのOTPトークンを管理するなんぞオレはやりたくない．少々高くてもいいから，複数のサービスで使えるOTPトークンがあると，それだけでだいぶ対処の自由度が増えると感じている．

とはいえ，そんな世の中が来るのはまだ先だろうからｗ，当面は総務省さんから出た資料を見て，ユーザはユーザ側でできることを考えていく，というのが今のところの落とし所だろう．

…疲れた…寝る…