Tożsamość 2.0

Dziesiątki loginów i haseł zostawiane na setkach witryn. Często brak możliwości edycji i kontroli danych. Wreszcie brak poczucia bezpieczeństwa. To wszystko aspekty naszej cyfrowej tożsamości. Czym jest? Jak ją chronić? Jakie technologie pomagają w jej zarządzaniu? Rozmawiamy z Marcinem Jagodzińskim, pomysłodawcą projektu Identity 2.0 PL.

Co to jest Identity 2.0?

Identity 2.0 (termin spopularyzowany przez Dicka Hardta, szefa firmySxip), to nowa generacja systemów służących do zarządzania tożsamością. Żeby zrozumieć Identity 2.0, trzeba najpierw zrozumieć pojęcie tożsamości, zawężane często do "danych osobowych".

Tożsamość to nie tylko imię i nazwisko, czy numer PESEL. Składają się na nią także nasze cechy (np: "mężczyzna średniego wzrostu"), a nawet zachowania (możemy określić czyjąś tożsamość mówiąc: "to ten, który przyszedł wczoraj jako pierwszy" i w pewnym gronie osób, będzie to wystarczająca wskazówka, by kogoś zidentyfikować).

Kolejny termin, to "tożsamość cyfrowa". Czyli tradycyjna tożsamość i jej przygoda z Internetem. Internet nie tylko multiplikuje tożsamości (stwierdzenie, że w sieci można mieć wiele tożsamości nie jest już odkrywcze), ale nadaje jej nowe wymiary. Moją tożsamość określa np. stwierdzenie "ten, który prowadzi bloga pod adresemhttp://blog.identity20.pl". To proste stwierdzenie nie będzie prawdziwe, gdy ktoś przejmie tą domenę. Nie będzie też prawdziwe, gdy Ty je wygłosisz. Jak to zweryfikować? Mogę powiedzieć: "mam 100 pozytywnych komentarzy na Allegro". Jak to sprawdzić? I kto to tak naprawdę mówi? "Ten, którego Piotr Zalewski przedstawił jako Marcina Jagodzińskiego". Tożsamość to nie jest prosta sprawa.

Identity 2.0 jest w pewnym sensie odpowiedzią na Web 2.0; odpowiedzią na wysyp serwisów, w których zakładamy "konta" i którym powierzamy różne dane, składające się naszą tożsamość. Jest to cały szereg technologii takich jak OpenID, Yadis, SAML, XDI/XRI czy Windows CardSpace, które pozwalają nam kontrolować tożsamość sieciową i nią zarządzać.

Pracują nad nią zarówno firmy takie jak Sun, Microsoft czy Verisign jak i niezależni programiści. Większość implementacji dostępna jest jako open source.

A projekt Identity 2.0 PL? Jaki jest wasz cel, co chcecie osiągnąć?

Projekt Identity 2.0 PL to próba stworzenia społeczności, zainteresowanej propagowaniem Identity 2.0. Założyliśmy stronę identity20.pl, na której gromadzimy wiedzę dotyczącą zarówno technologicznych jak i społecznych czy prawnych aspektów zarządzania sieciową tożsamością. W projekt, którego byłem inicjatorem, włączyło się wiele osób, są to zarówno informatycy, jak i prawnicy czy socjologowie.

Nasza witryna składa się z dwóch serwisów: bloga (blog.identity20.pl), na którym publikowane są doniesienia na tematy Identity 2.0 i wiki (wiki.identity20.pl), która zbiera encyklopedyczną wiedzę. Planujemy również uruchomienie pierwszego polskiego serwera OpenID.

Naszym celem jest "ewangelizacja" i gromadzenie wiedzy. Być może na bazie inicjatywy powstanie jakaś formalna organizacja, chociaż za wcześnie jest mówić jaki ona przybierze charakter.

Zainteresowanie projektem przerosło moje oczekiwania. Widać, że potrzeba innego podejścia do zarządzania tożsamością jest bardzo duża.

Wiele osób po lekturze zgromadzonych przez nas materiałów założyło swój identyfikator OpenID, wiem też, że planowane są wdrożenia modułów umożliwiających logowanie przez OpenID na blogach i innych witrynach.

A czym tak naprawdę jest OpenID?

OpenID to cały zestaw specyfikacji. Najważniejszą z nich i najbardziej dopracowaną jest uwierzytelnianie OpenID. Polega ono na tym, że użytkownik uwierzytelniany jest (w dowolny sposób, na ogół za pomocą loginu i hasła) zawsze pod jednym adresem internetowym, będącym jednocześnie jego identyfikatorem OpenID. Działa to tak: jeśli chcesz zalogować się na stronie serwer.com obsługującej OpenID, podajesz tej stronie swój identyfikator (np. piotr.openid.pl). Przeglądarka przekierowuje cię pod ten adres. Tam podajesz hasło, następnie zostajesz przekierowany z powrotem na serwer.com. Jesteś tam już zalogowany. Serwer.com nie poznał nawet Twojego hasła.

Rozwiązanie to nazywa się SSO (single sign-on, pojedyncza rejestracja): rejestrujesz się raz, logujesz się wiele razy.

Ale to tylko jedna ze specyfikacji. Już opracowywane są kolejne, dodające kolejne warstwy. Przykładowo będzie możliwe przekazywanie podstawowych danych osobowych, takich jak imię i nazwisko, (oczywiście cały czas pod kontrolą użytkownika) innym serwisom, które o to poproszą.

W OpenID 2.0 jest też możliwe używanie innych niż adresy URL identyfikatorów, tzw. i-names. Ale to już inna historia.

Dlaczego warto korzystać z OpenID?

Przede wszystkim dzięki OpenID omija nas prawdziwy koszmar zapamiętywania setek par login/hasło do różnych serwisów. Jeden adres URL i jedno hasło wystarczy by logować się wszędzie, gdzie OpenID jest przyjmowane (możemy oczywiście mieć wiele tożsamości i wiele identyfikatorów OpenID). Co więcej, skoro hasło jest jedno, może być długie (łatwiej zapamiętać jedno długie hasło niż dziesiątki krótkich), przez co jest trudniejsze do złamania.