OpenID: Én identitet til alt?

OpenID: Én identitet til alt?

OpenID er navnet på en leverandøruavhengig identitetsløsning som skal løse identitetsfloken på Internett. En fjern drøm eller en nærstående realitet? Vi har satt løsningen under lupen.

Hvor mange brukernavn og passord har du på ulike websider? Eller tar du en risiko og bruker det samme på de fleste steder?

Veldig mange av kjernetjenestene på Internett, som bank, e-post og shopping, krever brukerpålogging. Legg til alle nettsamfunnene og diskusjonsfora. Det blir en del identiteter å holde styr på.

Nesten samtlige tjenesteleverandører har sin egen løsning på hvordan du kan autentisere deg overfor tjenesteleverandøren. Bruker du tjenestene til for eksempel både Google, Yahoo og Microsoft sitter du i alle fall igjen med tre forskjellige brukernavn. Er du riktig heldig og velger et brukernavn som er ledig på tvers av de forskjellige tjenestene kan du forholde deg til et brukernavn der i alle fall den første delen av brukernavnet er likt.

En helt vanlig identitetsgenerering

En av de mest brukte modellene for registrering av en ny konto hos en tjenesteleverandør løses ved at du oppgir en e-postadresse som er unik. E-postadressen blir da senere paret opp mot et passord du velger selv på registreringstidspunktet. Til slutt sendes en aktiverings-epost til den oppgitte adressen som du må aksessere via nettleseren.

Det er svært enkelt å komme i gang med OpenID – løsningens eneste ulempe er at nesten ingen av de virkelig store tjenestene støtter teknologien.

For nettbanker er situasjonen helt annerledes da det stilles helt andre sikkerhetskrav til autentisering. Også på dette området finnes det mange proprietære løsninger som kan virke forvirrende hvis man er kunde hos mer enn en bank.

Hadde det ikke vært flott om vi som brukere hadde bare hatt én ID å forholde oss til som virket på alle tjenestene?

Hva er OpenID?

Løsningen til Open ID Foundation, som den frivillige organisasjonen bak løsningen heter, baserer seg på at man logger seg inn ett sted en gang, og er etter at man er innlogget også logget inn på flere tjenester fra for eksempel samme tilbyder, ofte kalt for en «single sign on»-løsning.

Tilsvarende løsninger i dag er Windows Live ID fra Microsoft. Men i motsetning til sistnevnte løsning er OpenID en åpen, desentralisert og en leverandøruavhengig løsning. Det betyr at hvem som helst kan ta i bruk løsningen – enten som tilbyder, bruker eller som tjenesteutvikler.

Slik fungerer det

Flyten i OpenID er enkel: en bruker oppretter en OpenID-konto hos en leverandør. Etter at dette er gjort, kan brukeren logge seg inn på sin OpenID-konto hos tilbyder (yahoo.com).

Når man kommer over sider (for eksempel livejournal.com) som benytter seg av teknologien, kan man logge inn med den valgte identifikatoren (pcworld.norge.no).

OpenID-logoen skal brukes for å markere at en tjeneste benytter seg av løsningen.

Det første som skjer når man har logget seg inn på en tjeneste som benytter seg av OpenID-autentisering er at man blir videresendt til en OpenID-tjener der man registrerte sin OpenID-konto (her: yahoo.com). Hvis man er logget inn, vil man bli møtt av en administrasjonsside som vil spørre om man autentiserer tjenesten som man ønsker å logge seg inn på. Man kan velge mellom svaralternativene: «bare for denne økten», «alltid» eller «nei».

Dersom man velger alltid, vil man alltid være innlogget på tjenesten neste gang man avlegger siden et besøk. Gitt at man ikke har logget seg ut av OpenID-systemet fra leverandøren. Fra denne administrasjonssiden kan man alltid velge å legge til og fjerne tjenester.

Dette høres kanskje komplisert ut, men vår anbefaling er å teste det for å skjønne hvor enkelt det er. Er du skeptisk, kan en ypperlig og grundig demonstrasjonsvideo av systemet beskues her:

Kom i gang med OpenID

Det er veldig enkelt å komme i gang med OpenID. Alt man trenger å gjøre, er å finne en OpenID-leverandør som tillater at du kan registrere din ønskede OpenID-konto herfra. Et nettsted som tilbyr denne type tjeneste er for eksempel nettstedet myopenid.com (se skjermbilde). Det er fort gjort å registrere seg her, og etter at man har gjort det, har man en OpenID-konto som lyder slik: valgtbrukernavn.myopenid.com.

Det interessante med OpenID er at identifikatoren blir knyttet opp mot det domenet man ønsker. Sitter du allerede på et domene, er det altså ingenting i veien for å benytte seg av dette. Sitter du på domenet nordmann.no, er det altså ingenting i veien for å registrere ola.nordmann.no.

Bred industristøtte, men...

Når man sitter på en OpenID-konto, har man jo lyst til å komme i gang med å bruke tjenester som benytter seg av denne id-løsningen. Det er der problemet er. Vi fant svært få kjente tjenester som aksepterer OpenID som autentisering – selv om antall «relying parties» er på godt over 11 000.

Wikitravels.org er en av få sider som støtter OpenID.

Blant de mest kjente er Blogger, LiveJournal.com, wikitravels.org, Technorati.com, Plaxo, pbwiki, vox.com og Ma.gnolia. Hva med resten?

Det er direkte irriterende å tenke på at store selskaper som Yahoo, Google og Microsoft har alle meldt sin støtte for løsningen, men ikke gjort nok for å ta løsningen i bruk.

Viktige ord og uttrykk

I forbindelse med OpenID brukes det et bestemt terminologi som kan virke kryptisk for mange. Her er en jukselapp som lar deg bestå id-testen.

End user – sluttbruker på norsk, en person som ønsker å «bevise» sin identitet ovenfor en tjeneste.

Identifier – identifikator på norsk (i mange tilfelle kjent som bare «brukernavn»), men i dette tilfellet menes det en URL som brukeren har valgt som sin OpenID-identifikator. Et eksempel kan være pcworldnorge.openid.org.

Identity provider – en identitetsleverandør av en eller flere identitetstjenester som OpenID.

Relying party – en side eller tjeneste som er satt opp slik at den er i stand til å verifisere en sluttbrukers identitet.

User-agent – det verktøyet sluttbrukeren har valgt å benytte for å få tilgang til en OpenID-leverandør

(Kilde: Wikipedia, openid.onet, og Håndbok i datasikkerhet (tapir akademisk forlag))

OpenID faktaark

2005: Brad Fitzpatrick, mannen bak nettjenesten LiveJournal, starter utviklingen av teknologien som ligger i hjertet av OpenID.

2006: Et endelig utkast av autentiseringsprotokollen foreligger og flere selskaper som jobber med tilsvarende protokoller, velger å slutte seg til OpenID.

2007: Symantec, Microsoft og Verisign annonserer sin støtte for løsningen. Senere følger Sun og AOL etter.

2008: Yahoo, Google og IBM slutter også seg til prosjektet, og flere av de store selskapene får sete i styrerommet.

Google støtter tjenesten via Blogger, Microsoft har støtte for OpenID via sitt Windows CardSpace-løsning mens Yahoo lar deg registrere en OpenID-konto fra sidene deres.

Men det er jo ikke det de aller fleste ønsker å bruke Open ID-kontoen sin til. Suksessnøkkelen for OpenID blir med andre ord å få gigantiske tjenester som Gmail, Windows Live Messenger, Flickr og Facebook til å benytte seg av løsningen. Først da blir det bra.

Mange er redd for at de store selskapene kun vil støtte OpenID som tilbyder, men ikke åpne for at konkurrentenes OpenID kan brukes til pålogging på sine egne tjenester. Dermed kan de skumme fløten – få påloggingstrafikk fra brukere som egentlig skal bruke andres nettjenester.

Oppsummering

Identitet er en av de store utfordringene på Internett i dag. OpenID er en åpen og gratis digital ID-standard som har som mål å forenkle bruken av internettjenester som krever brukerautentisering. Drømmen er at samtlige tjenester på Internett tar bruk av denne løsningen, slik at man som bruker trenger å forholde seg til kun én id-løsning på nett.

Noen sikkerhetseksperter mener at sikkerheten som ligger bak OpenID er mer enn god nok til å erstatte tilsvarende løsninger, som for eksempel bankID som benyttes hos mange nettbanker i Norge i dag. Andre derimot er helt uenig og mener at OpenID ikke er sikker nok til slike formål. Når det er sagt, vurderer enkelte land å benytte seg av protokollen i forbindelse med bank og andre offentlige tjenester – blant annet Sverige. Hvorvidt implementering av prosjekter der OpenID er involvert blir gjennomført, gjenstår å se.

Det er nettopp gjennomføring som er den største utfordringen som OpenID står overfor. Selv om de aller største IT-selskapene har meldt sin interesse og støtte for løsningen, har ingen av de store løftet så mye som en finger for å støtte teknologien i sine egne systemer og tjenester.

Det vi derimot kan fastslå med sikkerhet, er at siste ord er neppe sagt i denne saken. Vi håper teknologien vinner frem også på de virkelig store webtjenestene, for OpenID har potensial til å skape en lettere og tryggere netthverdag.

LES OGSÅ: Slik holder du deg anonym på nettet