OpenID – малко повече информация

Какво е OpenID

OpenID e лесен бърз и сигурен (при някои обстоятелства) начин за представяне в Интернет. Потребителят може да влиза в много сайтове само с един идентификатор.

Освен това, потребителя може да вижда какви данни изисква уеб-сайта от него и да решава дали да ги даде или не

Така потребителя, може да знае във всеки един момент, кои и за какво използва данните му, поради факта, че само той позволява това да се случи.

Погледнато от друга страна, когато потребителя си асоциира OpenID, всеки ще знае, че това е той, без да става объркване от имена или прякори или потребителски имена в различни услуги.

На какво ниво е сигуростта в момента на OpenID
На каквото е и положението с паролите – openid идентификацията в повечето сличаи става с име/парола или с openid идентификатор/парола. Има частични решения със сертификати, но те зависят от браузъра на потребителя и в чести случаи това означава, че тази идентификация, може да става само от един компютър – този на който е инсталиран сертификата.

В СЕП ще въведем още едно ниво на сигурност, като позволим на потребителя да управлява достъпа до профила и информацията си в openid частта през мобилния си телефон.

Какво е и какво не е OpenID

Идентификация
OpenID показва на собственика на сайта, този който иска вие да се представите, че сте същия идентификатор преди когато сте го ползвали сайта и сега. Тоест OpenID не гарантира и не представя личност, а само идентификация, която не е потвърдена, но така функционира Интернет :)

В СЕП ще гарантираме, че зад този СЕП openID идентификатор стои човек , с определен телефонен номер и с определени удостоверени лични данни, но само ако потребителя пожелае това да се случи.

Одит
ОpenID се използва за вход в сайтовете и единствената информация, която се пази е кога и от кой сайт е била изисквана информация. Целта на този протокол е да идентифицира, в различна степен, а не да събира данни за това кой какво прави в Интернет.

В СЕП, ще му предоставяме и съхраняваме данни, точно за това – в кои сайтове е влизано с openid идентификатора на потребитела, по кое време и от кое IP.

Използване
Ако потребителят не е използвал досега openid, може би ще му е малко трудно, но протокола позволява така да се направи, че само с 2 реда, да можете да използвате собствен домейн или страницата си в Интернет като идентификатор. Нея няма как да я забрави нали?

Няма и ограничение в използването като местоположение. Може потребителя да използва своя идентификатор и във фирмения портал и в интернет клуб на другия края на света и в библиотеката в Лисабон, ако тези електронни системи използват OpenID, а към момента го правят огромен брой сайтове и приложения.

Пример:
Ако идентификатора на потребителя е :
http://bogomil.mobisafe.bg

А, потребителят има уеб-сайт, примерно:
http://bogomil.info

Той може да използва този свой адрес за да управлява идентичността си и няма нужда да помни http://bogomil.mobisafe.bg

От друга страна, ако се налага да се помнят много пароли и потребителски имена в различни сайтове, социални мрежи, корпоративни профили, библиотеки и т.н, то алтернативата да помниш само един идентификатор, изглежда доста примамлива, нали?

Сигурност
Така или иначе абсолютна сигурност няма. Единственото, което потребителя, трябва да прецени добре и избора на своя доставчик на OpenID идентификация. Доверието в този доставчик е най-важното и е основата на сигурността на този тип комуникация.

Използване на ОpenID

Aко погледнем пак примерната схема:

виждаме основния модел на комуникацията.

1.Потребителя отива на сайта some.bg
2.Потребителя иска да се представи на сайта, за да може да работи с него, ако сайта изисква това
3.Потребителя въвежда своя OpenID идентификатор, който е URL адрес (http://bogomil.info, aко искаме да работим с примера по-горе)
4.Потребитела бива насочен към OpenID сайта, където може да се отиризира и да види какви данни some.bg иска от него и да реши дали да продължи или да отмени този процес
5.Ако реши да продължи потребителят бива пренасочен към some.bg вече със оторизиран и може да използва всички функционалнсоти на сайта.

Мислете за openID, като за име и парола на сайта, който сте решили да използвате. A сега си помислете за друг сайт. Може би имате еднакво име и парола на другия. С OpenID ще имате СЪЩОТО. Ако случайно решите да смените паролата си, няма нужда да ходите на всичките сайтове, а само на един – този на доставчика ви на уеб-идентичност.

Проблеми на сигурността, банките и всичко останало

След проблемите на ПИБ, дойде време и за шум около мобилните оператори. Някой пуснал мухата, че ако въведеш таен код, може да се получи отдалечен достъп до SIM картата. Все едно да можеш да пиеш вода от Марс със сламка от Земята. Глупости, ама народа вярва ли вярва.

Какъв е проблема
Когато хората не познават технологията всичко им се струва реално и може да бъде прието за истина. Тук, разбира се освен всички други аспекти, изниква въпроса за сигурността. Може ли да бъдем сигурни, че няма да ни източат парите от картата или че няма да ни копират информацията от телефона или да се обаждат от нашия номер за наша сметка?

Я, да видим
Как всъщност се справят в Европа и останалата част на света? Ами…никак. Този проблем не може да бъде решен – не и по традиционния начин. Чиповете в картите /дебитни или кредитни/ не могат да ме успокоят, защото ПИН кода го въвеждам къде ли не – точно на банкоматите се слагат “сканиращите” устройства, а пък и не мога да бъда сигурен, че продавачката в магазина не е “в играта”. Значи картата определено не е сигурна, колкото и да я рекламират като такава с някакви клипове по телевизията или с промяна на идеята, че от магнитна лента се минава на ‘сигурна’ чип-технология

Как стои въпросът със телефона – ами пак по същия начин. Едва ли ще ми копират информацията от телефона, не че не е възможно, но все пак не се чувствам сигурен.

Какво ми остава тогава ?
Да се върна пак на това как стоят нещата в Европа и по-скоро какви алтернативни методи са дали те /освен плащането в кеш и карта/ – плащане с мобилен телефон. Разбира се, това определено не е новост – в много страни го има, включително и в България има плащане с…SMS, което е сигурно, като това да пратиш мейл от кварталния доставчик.

Новото е появата на Trusted services manager (TSM), който най-точно може да се определи като медиатор, който свързва банките и мобилните оператори при извършването на плащанията. Проекта е на Асоциацията на мобилните оператори, в която членуват водещи мобилни оператори.

TSM изгражда инфраструктурата, гарантира сигурността на плащанията и предлага електронни услуги. Проблема със въвеждането на ПИН кода е решен /въвежда се от телефона естествено/, а SIM картата е от ново поколение UICC. Проектът се нарича Pay-by-mobile и предлага отворен бизнес модел, в който имат възможност да се присъединят всички, които желаят. Това е в Европа, но и ние вече имаме TSM и това е СЕП.

Свързани статии
iPhone, Android и СЕП
Ще пазаруваме с мобилния телефон