この辺を読んでみて思ったんだけど。
≫ユニークIDがあれば認証ができるという幻想
≫サイボウズOfficeも匙を投げた「簡単ログイン」
Webアプリケーションのセキュリティホールなんてのは、昔からいろんなものが見つかってきていて、それらに対してはどのように対策をすればいいかってのが議論され、既存のWebサイトには徐々に対策が浸透していくのが普通。
代表的なところでは、こことかに書いてある通り。だからって、これが全てではないわけで。
≫Webアプリケーションを作る前に知るべき10の脆弱性
要は、Webアプリケーションを構築したときにセキュリティホールがあったとしたら、対策を実施するためのコストと対策しない場合の損失が天秤にかけられた上で決定がなされるわけで。ということになると、対策コストを出せないWebサイトなどは、そのまま残る。対策しないと判断した場合はまだましで、セキュリティホールの存在に気付いてないWebサイトだってたくさんあるはず。自分が過去に作ったサイトも、自分が退職した後に見つかったセキュリティホールには何の対策もされてないんじゃないかと思う。実際はどうなのか知らんけど。

で、簡単ログインの話。端末固有IDやサブスクライバIDによって実現されてる簡単ログインがセキュリティ的に危険だと言う認識が徐々に一般に広まれば、少しずつ使われなくなるんだろうけど、それでも携帯電話でSSL接続してユーザIDとパスワードを入力する手間が解消されない限り、それを使う人はいなくならないような気がする。で、スマートフォンみたいに携帯端末のブラウザが賢くなって、パソコンのブラウザと同じように、ユーザIDとパスワードを記憶して自動で補完してくれるとか OpenID に対応するなどしてログインの手間がなくなってくれば、いずれは絶滅するんじゃないかと。

ところで。そもそもこの問題って、スマートフォンの出現がどうこうじゃなくって、i-modeのサイトで端末固有IDで認証するというサイトができた瞬間から存在してる問題でないの？そんとき、携帯電話とパソコンを接続して(モデムではなく)パケット通信でインターネットに接続したら、IPアドレス制限してもなりすましが可能だと思うんだけど。接続元が携帯端末のi-modeブラウザなのか、それともパソコン上のアプリケーションなのか判別できる情報を、接続先のWebサイトはもらえるの？

追記
こんなこと書いてるけど、平気で簡単ログイン使ってるし。
自分が使ってるサイトでも、楽天などは、お金の支払などが伴なうところは簡単ログインをしたあとでも必ずパスワードの確認があるから、もしなりすましされたとしても金銭的な被害は出にくいだろうと、楽観的なトレードオフ。さすがにネットバンキングには簡単ログインは使ってない。
ところで、これって端末固有IDやサブスクライバIDによる簡単ログインなの？
≫クイックログイン イーバンク銀行｜インターネットバンキング