OpenID: Bilet do sieci

Czy zdarzyło wam się kiedyś zapomnieć hasło? Na pewno tak. A czy wiecie, na ilu stronach macie konto użytkownika? Na pewno nie. By zarejestrować się w jakimkolwiek internetowym sklepie czy portalu społecznościowym, musimy podać dane osobiste i hasła logowania – to denerwujące! Istnieją różne sposoby na rozwiązanie tego problemu. Jednym z bardziej obiecujących jest OpenID, czyli system identyfikacji użytkownika bazujący na adresach URL. Być może, nawet o tym nie wiedząc, już z niego korzystacie – serwisy, takie jak Google, Microsoft czy Yahoo, przypisują identyfikatory OpenID do kont swoich użytkowników.
Operator zapisuje odnośniki do wszystkich witryn, w których użytkownik się zarejestrował, korzystając z identyfikatora OpenID, a następnie prezentuje je w formie przejrzystej listy.
Operator zapisuje odnośniki do wszystkich witryn, w których użytkownik się zarejestrował, korzystając z identyfikatora OpenID, a następnie prezentuje je w formie przejrzystej listy.

Uniwersalny klucz: Jeden identyfikator do wszystkich witryn

Zasada jest prosta: OpenID to wirtualny dowód tożsamości umożliwiający identyfikację użytkownika przez dowolną stronę wymagającą logowania. By móc się nim posługiwać, wystarczy założyć konto u jednego z operatorów OpenID, tylko raz podając swoje dane, takie jak imię, nick czy email. Następnie otrzymujemy własny adres URL, odpowiadający swego rodzaju podstronie portalu operatora, np. nazwa_użytkownika.myopenid.com.

Po zakończeniu rejestracji możemy, posługując się naszym adresem URL, tworzyć własne konta użytkownika we wszystkich serwisach pozwalających na logowanie się za pomocą OpenID. Są one określane mianem partnerów OpenID. Podczas procedury tworzenia konta w serwisie partnerskim adres URL użytkownika jest szyfrowany i przesyłany do wewnętrznej bazy danych, a on sam zostaje przekierowany na stronę swojego operatora OpenID i poproszony o potwierdzenie chęci rejestracji. Gdy wyrazimy zgodę, operator przekaże partnerowi wymagane dane, np. nasz email i nazwę użytkownika. Jeżeli wolelibyśmy przyspieszyć procedurę logowania podczas następnych wizyt w serwisie partnerskim, możemy czasowo zezwolić na przesyłanie naszych danych bez dodatkowego potwierdzania (szczegóły na schemacie po prawej stronie).

Ponieważ do korzystania ze wszystkich serwisów partnerskich OpenID użytkownikowi – zamiast nicków i haseł – wystarcza identyfikator OpenID, technologia ta jest określana jako system pojedynczego logowania (Single Sign On, SSO).

Prostota obsługi: Automatyczna aktualizacja danych

To, które z naszych danych mogą zostać przez operatora OpenID przekazane dalej, zależy od wybranego profilu: w ramach pojedynczego konta możemy utworzyć kilka wirtualnych tożsamości, na przykład “prywatną” i “publiczną”. Każdej z nich można przypisać wybrane informacje, przykładowo adresy elektroniczne, zdjęcia czy numery telefonów. Chcąc zarejestrować się w witrynie partnerskiej, wybieramy profil zawierający te dane, które zdecydujemy się jej udostępnić.

Jeżeli nie podoba nam się pomysł posługiwania się podczas logowania adresem URL zaproponowanym przez operatora OpenID, możemy zamiast niego wykorzystać adres naszej strony domowej. By mogła ona poprawnie współpracować z serwerem operatora, wystarczy jedynie kilka tagów HTML w jej nagłówku. W efekcie adres naszej strony domowej będziemy wykorzystywać jako nazwę użytkownika w serwisach partnerskich OpenID, z których korzystamy – to może spodobać się na przykład blogerom, ale również użytkownikom korporacyjnym.

Funkcjonalność OpenID rozbudujemy dzięki wtyczkom – np. rozszerzenie OpenID Attribute Exchange (Wymiana Atrybutów OpenID) umożliwia automatyczną aktualizację naszych danych w witrynach partnerskich po dokonaniu zmian w profilu OpenID. Jeśli na przykład wprowadzimy w serwisie operatora OpenID nowy email lub adres korespondencyjny, wystarczy jedno kliknięcie, by przekazać nowe dane wszystkim autoryzowanym witrynom. Tym, którzy nie chcą powierzać swoich danych serwisom zewnętrznym, oferuje się możliwość wykorzystania do ich przechowywania własnego serwera. Wcale nie trzeba posiadać głębokiej wiedzy programistycznej – OpenID to otwarty, zdecentralizowany system, a gotowe skrypty, np. pakiet narzędziowy php-MyOpenID, wystarczy rozpakować i umieścić na swoim serwerze sieciowym. To najlepszy sposób, by zachować pełną kontrolę nad naszymi danymi osobistymi – trzeba jednak pamiętać, że jednocześnie stajemy się odpowiedzialni za odpowiednie zabezpieczenie serwera.

Słabe punkty: Phishing i kradzież tożsamości

Korzystanie z otwartego protokołu to jednak nie tylko korzyści – wiążą się z tym również zagrożenia. Ponieważ dostęp do serwera OpenID uzyskujemy łatwo, bardzo ważne jest powierzanie swoich danych jedynie zaufanym operatorom – w przeciwnym razie ryzykujemy, że nasza sieciowa tożsamość zostanie skradziona.

Pojawia się również inny problem: jeśli witryna operatora OpenID będzie niedostępna, na przykład z powodu awarii serwera, użytkownicy usługi zostaną pozbawieni możliwości logowania się w jakimkolwiek serwisie za pomocą swojego adresu URL. Ponadto OpenID – jak każda usługa sieciowa – jest potencjalnym obiektem działań hakerów związanych z phishingiem. By się przed tym uchronić, powinniśmy zawsze najpierw logować się w portalu operatora, a dopiero później przeglądać inne strony.

Opisywane zagrożenia są znane operatorom OpenID, którzy stosują specjalne mechanizmy zabezpieczające. Do identyfikacji użytkownika wykorzystują certyfikaty umieszczone na jego lokalnym dysku. Niektórzy operatorzy OpenID umożliwiają nawet korzystanie z procedury polegającej na tym, że dzwonią do użytkownika, który następnie potwierdza chęć zalogowania się, naciskając odpowiedni klawisz.

Pierwsze eksperymenty: Google i jego konkurenci stawiają na OpenID

Sieciowi giganci, tacy jak Google, Microsoft czy Yahoo, wierzą, że technologia pojedynczego logowania to standard przyszłości i sami świadczą usługi jako operatorzy OpenID. Jednak najwięksi gracze nie do końca jeszcze wiedzą, jak wykorzystać potencjał rozwiązania. Działają oni bowiem nie tylko jako operatorzy, ale również jako partnerzy, w związku z czym nie pozwalają na korzystanie z własnych serwisów przy użyciu profili OpenID zarejestrowanych na serwerach konkurencji. Z tego powodu użytkownicy są zmuszeni do korzystania z więcej niż jednego profilu – w efekcie powstaje splot wzajemnie niekompatybilnych sieci OpenID. Również firmy będące wyłącznie partnerami OpenID, na przykład Facebook, stają na drodze nowego standardu: zamiast umożliwiać rejestrację z użyciem profilu OpenID, wymagają uprzedniego wypełnienia formularza w celu utworzenia normalnego konta, a dopiero potem pozwalają na skorzystanie z mechanizmu jednokrotnego logowania.

Obecnie serwisy internetowe dopiero eksperymentują z OpenID, szukając dla niego

odpowiedniego zastosowania. Dzięki kompatybilności tego rozwiązania i udziałowi w tym przedsięwzięciu liderów rynku, pragnących, by ustanowiono to rozwiązanie nowym standardem, przyszłość OpenID rysuje się w jasnych barwach.

Operatorzy

Te witryny umożliwiają zakładanie bezpłatnych kont OpenID.

Operatorzy ogólnodostępni

www.openid.pl
www.myopenid.com
pip.verisignlabs.com
clavid.ch

Inni operatorzy

www.microsoft.com
www.google.com
www.yahoo.com

Tak działa OpenID

Operator OpenID oferuje użytkownikowi interfejs, dzięki któremu za pomocą zapisanych tam danych można bez problemu zarejestrować się w dowolnej witrynie internetowej (będącej partnerem OpenID), korzystając z identyfikatora OpenID.

(A) Użytkownik wyłączył u swojego operatora potwierdzanie chęci logowania, dlatego jest logowany automatycznie.

(B) Użytkownik korzysta ze swojego adresu URL, by zalogować się w serwisie partnerskim.