Marcin Jagodziński - Identity 2.0 i OpenID


Marcin Jagodziński, ur. 1971. W internecie do ponad 10 lat, zajmował się tworzeniem serwisów internetowych, prowadził sklep internetowy. Jest autorem popularnego bloga NetTo (www.netto.blox.pl). Ostatnio pracował w portalu Gazeta.pl w dziale społeczności. Jest założycielem inicjatywy Identity 2.0 PL (www.identity20.pl), której celem jest popularyzowanie wiedzy o cyfrowej tożsamości. W ramach tej inicjatywy powstał pierwszy polski serwer OpenID (www.openid.pl). Pasjonuje się też planespottingiem (www.airnews.pl).

Mateusz Stępień: Czym tak naprawdę jest Identity 2.0 i OpenID?

• Marcin Jagodziński: Identity 2.0 to nazwa, której po raz pierwszy użył Dick Hardt z firmy Sxip. Oznacza ona nową generację systemów zarządzania tożsamością cyfrową, w których to użytkownik kontroluje swoją tożsamość. Potrzeba powstania systemów nowej generacja narastała z czasem. W dzisiejszych czasach jesteśmy użytkownikami wielu systemów komputerowych (na ogół w postaci serwisów internetowych), tworzenie w każdym z nich oddzielnej cyfrowej tożsamości jest i nużące i niebezpieczne.

OpenID jest jedną z nowych technologii, wpisujących się w trend Identity 2.0. To system wielowarstwowy. Jego podstawowym składnikiem jest uwierzytelniania użytkownika, dokonywane za pomocą serwerów OpenID, zwanych inaczej dostawcami tożsamości. Mówiąc bardziej przystępnie, logowanie w wielu witrynach internetowych jest zastąpione logowaniem na serwerze OpenID. Użytkownik sam wybiera, z którego serwera OpenID korzysta (może również stworzyć sobie wiele tożsamości cyfrowych u wielu dostawców tożsamości).

Mateusz Stępień: Dlaczego warto korzystać z OpenID?

• Marcin Jagodziński: OpenID jest po prostu wygodne. Zamiast pamiętać dziesiątki loginów i haseł, możemy pamiętać tylko jeden login i jedno hasło. Kolejne warstwy OpenID dodają kolejne funkcjonalności. Przykładowo, popularne rozszerzenie Simple Registration Extension przyspiesza rejestrację użytkownika w serwisach internetowych. Użytkownik wpisuje swoje dane raz na serwerze OpenID, a następnie przekazuje je każdemu serwisowi, na którym zakłada konto. Oczywiście tylko wtedy, kiedy chce.

Mateusz Stępień: Czy OpenID poprawi w jakimś stopniu bezpieczeństwo zwykłego użytkownika w Internecie ?

• Marcin Jagodziński: Takie jest zamierzenie. Twórcy OpenID argumentują, że po pierwsze, uwierzytelnienie na serwerze OpenID wcale nie musi być dokonywane w sposób tradycyjny (za pomocą loginu i hasła) -- można w tym celu wykorzystać inne, bezpieczniejsze metody (tokeny, hasła SMS etc). Wdrożenie logowania w ten sposób na 100 stronach to mnóstwo pracy. OpenID częściowo centralizuje logowanie, wystarczy więc umożliwić bezpieczne logowanie do serwera OpenID, by wszystkie strony z tego skorzystały. Po drugie, nawet jeśli serwer OpenID korzysta z loginu i hasła, łatwiej jest zapamiętać jedno dłuższe i silniejsze hasło niż kilkanaście czy kilkadziesiąt słabych.

Jednak pojawiają się też nowe zagrożenia, w tym najpoważniejsze z nich, jakim jest phishing. W tym scenariuszu phisher tworzy fałszywy serwer OpenID, który przypomina ten, którego dany użytkownik używa na codzień. Niestety, w OpenID bardzo łatwo przekierować użytkownika na właśnie taki, fałszywy serwer.

Można powiedzieć tak, że obecnie użytkownicy przechowują swoją tożsamość jak pieniądze w "skarpecie" (a raczej w wielu skarpetach). OpenID daje możliwość przechowywania tożsamości w bankach. Tożsamość będzie tam z pewnością bezpieczniejsza, ale ewentualne włamania będą bardziej spektakularne niż "drobne kradzieże". Do tego dochodzi fakt, że uzyskanie dostępu do cyfrowej tożsamości powoduje uzyskanie dostępu do wielu serwisów, z których korzysta dana osoba. To także rodzi zagrożenia. Trzeba pamiętać, że OpenID to technologia nowa i z pewnością wiele problemów zostanie rozwiązanych. Pojawią się też z pewnością nowe zagrożenia.

Mateusz Stępień: Czy słyszał Pan o nowym produkcie Microsoftu CardSpace?

• Marcin Jagodziński: Tak. Windows CardSpace to ciekawe rozwiązanie, oparte na bardzo zdecentralizowanym modelu. Jest jeszcze bardziej zdecentralizowane niż OpenID i nie ma nic wspólnego z niesławnym MS Passport. W systemie CardSpace używamy wirtualnych wizytówek, które tworzymy bądź sami (i przechowujemy na lokalnym komputerze) bądź też tworzy je jakaś organizacja (np. nasz pracodawca lub dostawca tożsamości). W tym drugim przypadku "wizytówki" przechowywane są na zdalnym serwerze. Takie wizytówki przedstawiamy zdalnym systemom (np. stronom internetowym) zamiast loginu i hasła.

To rozwiązanie ma dwie wady: po pierwsze wizytówki "osobiste" są związane z konkretnym komputerem. Gdy zostanie on zniszczony lub po prostu nie mamy do niego dostępu, nie możemy z nich skorzystać. Po drugie jest ono trudniejsze do implementacji od strony serwisu internetowego niż OpenID. Stąd też pomysł, który zyskał poparcie zarówno Microsoftu jak i osób pracujących nad OpenID, by oba rozwiązania połączyć: CardSpace używalibyśmy do zalogowania się na serwerze OpenID (co w ogromnym stopniu likwiduje problem phishingu), a OpenID byłoby używane do logowania się na różnych witrynach internetowych.

Windows CardSpace ma także swoje odpowiedniki poza systemem Windows, zaś jeśli chodzi o Windows, stanowi ono standardowy komponent każdego systemu Vista, a niedługo będzie także instalowane jako aktualizacja Windows XP.

Mateusz Stępień: Gdzie już można korzystać z OpenID?

• Marcin Jagodziński: Liczba serwerów stale rośnie. Z każdym tygodniem docierają nowe informacje o kolejnych witrynach, na których możemy zalogować się używając OpenID lub stronach które to planują. Jeśli chodzi o witryny zagraniczne, to OpenID wspiera m.in. LiveJournal, Ma.gnolia czy Zooomr, zaś w planach logowanie przez OpenID zostanie wprowadzone m.in. na Diggu, Netvibes i AOL (63 miliony użytkowników!). W Polsce OpenID można używać na kilkunastu blogach, kilku serwisach tematycznych (m.in. IPSec.pl) i na platformie Jogger (w nieco ograniczonym zakresie). Jednak już mam sygnały, że zasięg OpenID w naszym kraju znacząco się zwiększy. Plug-iny pozwalające na proste włączenie logowania OpenID są dostępne dla takich systemów jak Wordpress, Drupal, MediaWiki czy phpBB -- być może już niedługo wejdą w skład standardowych dystrybucji tych systemów, a wówczas OpenID upowszechni się jeszcze bardziej.

Realizacja: SIPLEX Studio