Tożsamość 2.0

Jakie zagrożenia niesie ze sobą OpenID?

Bardzo ważne jest zrozumienie, że OpenID nie służy, przynajmniej na obecnym etapie, do budowy zaufania. To tylko identyfikacja, nic więcej. Serwer OpenID mówi stronie: "ktoś zna hasło na stronę: piotr.openid.pl", ale nie jest w stanie rozpoznać, kto tego hasła użył. Internetowy spammer może założyć własny serwer OpenID i seryjnie generować swoje tożsamości.

Kolejna rzecz: logując się na naszym serwerze OpenID, musimy mu przekazać skąd przechodzimy. Oznacza to, że serwer OpenID dokładnie wie, gdzie i kiedy się logujemy, co może stanowić pewne zagrożenie dla naszej prywatności.

Do tego dochodzi cały szereg rozmaitych znanych i nieznanych zagrożeń typu ataki men in the middle (przechwytywanie transmisji danych), ddos (ataki prowadzące do czasowej niedostępności serwera OpenID) keyloggery (przechwytywanie haseł wprowadzanych na klawiaturze) itp. Ale na nie podatne są w różnym stopniu wszystkie aplikacje internetowe.

Czy można już korzystać z OpenID?

Oczywiście. Na świecie istnieje już przynajmniej kilkadziesiąt serwerów, na których za darmo można założyć swój identyfikator OpenID. Nieco gorzej jest z serwisami, które pozwalają na logowanie się za pomocą OpenID. Jest livejournal, jest wikitravel, vox.com, magnolia i kilkadziesiąt mniejszych witryn. Przyznano nawet sporą nagrodę (5000U USD) dla kilku największych aplikacji open source, do których dopisane zostaną moduły OpenID. Prace nad pluginami do popularnego forum phpBB, systemu blogowego Wordpress czy MediaWiki (systemu, na którym oparta jest Wikipedia) są już zaawansowane. Możliwe więc, że całkiem niedługo Wikipedia da nam możliwość logowanie się za pomocą OpenID. Jest też kilka implementacji serwerów OpenID, napisanych w różnych językach programowania, dostępnych na licencjach open source.

Rok 2007 to dla OpenID rok przełomowy. Zdecyduje się być albo nie być tego rozwiązania. Wygląda na to, że wszystko zmierza w dobrym kierunku, o OpenID jest ostatnio głośno, zapowiadane są nowe wdrożenia. A może zaskoczy nas Google lub Yahoo? Czemu nie?

A w Polsce?

Na razie nie doczekaliśmy się żadnego większego wdrożenia OpenID. To kwestia czasu. Sądzę, że w ciągu najbliższych tygodni kilka blogów umożliwi logowanie za pomocą OpenID. Już teraz można używać OpenID dodając komentarze na blogu Identity 2.0 PL.

Czy MS Passport można nazwać OpenID?

"Open" jest w "OpenID" równie ważne jak "ID". MS Passport określany jest jako Identity 1.5. Microsoft zauważył potrzebę posiadania jednego identyfikatora i hasła używanego na wielu serwisach, zaproponował jednak rozwiązanie, które się nie sprawdziło. W MS Passport jeden centralny serwer dokonywał uwierzytelniania na wielu witrynach.

W odróżnieniu o MS Passport OpenID pozwala użytkownikowi wybrać "dostawcę tożsamości", czyli serwer, który go uwierzytelnia. MS Passport nie dawał takiej możliwości. Użytkownicy "musieli" mu ufać. OpenID nie narzuca konkretnej firmy czy organizacji, co więcej, pozwala przenosić swoją tożsamość, jest też wyposażony w mechanizm, który umożliwi dostęp do tożsamości w przypadku awarii serwera OpenID. Być może powstaną komercyjni dostawcy tożsamości OpenID, którzy do zalogowania wymagać będą kodu z tokena. Jeśli ktoś potrzebuje takiego poziomu zabezpieczenia i go na to stać, nie ma problemu.

Obecnie Microsoft lansuje zamiast MS Passport technologię CardSpace, jeszcze bardziej zdecentralizowaną niż OpenID. Jak widać lekcja MS Passport nie poszła na marne, choć zdaję sobie sprawę, że na dłuższy czas odstraszyła potencjalnych użytkowników systemów pojedynczej rejestracji. Zresztą MS Passport ma swoją kontynuację w postaci Windows LiveID, używanego w serwisach takich jak MSN, czy Hotmail.

Na czym polega działanie Cardspace? Czy będzie dostępne dla wszystkich i może wyprzeć z rynku rozwiązania OpenID?

Windows CardSpace to komponent wchodzący w skład .NET 3.0, standardowo instalowany z systemem Vista (dostępny jest także jako aktualizacja .NET dla Windows XP). Użytkownik definiuje "karty identyfkacyjne" podobne do wizytówek czy identyfikatorów. Karta zawiera pewien zbiór danych (np. imię i nazwisko, adres). Dostępne są dwa typy kart: osobiste i firmowe. Te pierwsze (zawierające tylko określony podzbiór podstawowych danych) przechowywane są na lokalnym komputerze, te drugie (zawierające dowolne dane) przechowywane są na zdalnym serwerze (np. firmowym). Dane są oczywiście szyfrowane.

Witryna internetowa może poprosić nas o okazanie karty identyfikacyjnej. Jeśli użytkownik wyrazi na to zgodę, dane z karty przekazywane są do tej witryny.

Wydaje się, że Windows CardSpace to nie konkurencja, a raczej uzupełnienie OpenID. Mają one wiele zalet, ale mają też wady: implementacja logowania za pomocą CardSpace jest o wiele trudniejsza niż w przypadku OpenID, karty osobiste są związane z danym komputerem (przez co nie mogą być używane np. w kawiarence internetowej) no i przede wszystkim, jest to rozwiązanie dostępne w tej chwili jedynie dla użytkowników najnowszych edycji MS Windows.

Marcin Jagodziński

Marcin Jagodziński jest inicjatorem pomysłu Identity2.0 PL. Na co dzień pracuje jako menedżer projektów internetowych. Założyciel sklepu internetowego Butik.pl. Autor bloga netto. Interesuje się fotografią lotniczą.