OpenID nu eindelijk in de praktijk
Afgelopen dinsdag was er in Haarlem het congres “OpenID in de praktijk”. Een welkome update van de toestand van OpenID in Nederland. Ik heb twee jaar geleden op Frankwatching een inleiding geschreven over wat OpenID nu precies is en in de tussentijd is er veel gebeurd.
OpenID is in het kort een open en gedistribueerde manier om één identiteit —dat is dan vaak gebruikersnaam en wachtwoord (authenticatie) maar ook andere gegevens die samenhangen met je identiteit zoals NAW en foto— naar keuze te kunnen hergebruiken op meerdere websites.
In de afgelopen twee jaar is er hard gewerkt aan OpenID en aanverwante technologieën die samen de Open Stack vormen en zijn er grote vorderingen geboekt. Vrijwel alle grote websites Google, Microsoft Live, Facebook, MySpace en – voor ons van belang – Hyves zijn nu ‘issuing party’, dat wil zeggen dat mensen die daar een account hebben automatisch ook beschikken over een OpenID. Dat is een essentiële voorwaarde voor adoptie en je ziet nu ook dat het aantal ‘relying parties’ (sites waar je kunt inloggen met een OpenID) sterk toeneemt.
Praktijkvoorbeeld
Chris Obdam (foto) van Holder vertelt iets over wat OpenID nu precies is en hoe je het kunt gebruiken. Hij is de oprichter van de eerste Nederlandse OpenID provider MijnOpenID.nl en initiatiefnemer van de stichting OpenID.
Naast de inlog functionaliteit van OpenID legt Chris uit over SREG en Attribute Exchange waarmee mensen snel en makkelijk zich ergens kunnen registreren en rijkere informatie kunnen uitwisselen volgens een voorafgesproken schema.
Hij geeft daarna het woord aan Victor Küppers van Routemobiel waar men kijkt hoe OpenID ingezet kan worden om het aanmelden voor de website en de verschillende diensten te vereenvoudigen. Omdat veel mensen een Hyves/Google/MSN account hebben is het nu de moeite waard om het te integreren. OpenID biedt als voordeel dat veel velden die mensen (keer op keer) moeten invullen bij het aanmelden bij een website al automatisch worden ingevuld en dat je niet nog een gebruikersnaam en wachtwoord hoeft te onthouden.
Dit is op dit moment één van de belangrijkste redenen voor bedrijven om voor hun websites, formulieren en campagnesites OpenID in te zetten. De meeste mensen zijn het beu om zich te moeten registreren – mede omdat de meeste registratieformulieren erg slecht zijn – voor een site die zijn waarde nog moet bewijzen. Met OpenID wordt de moeite gereduceerd en de keuze makkelijker gemaakt wat leidt tot een hogere conversie.
OpenID net zo veilig als telebankieren en DigiD?
Christiaan Roselaar (foto) van ITSec vertelt hoe veilig OpenID is en waar je bij stil moet staan als je het gaat implementeren.
Veiligheid bestaat niet, in het implementeren van elk systeem is het noodzakelijk om te kijken wat je wilt beschermen, welke risico’s er zijn en welke je bereid bent te accepteren.
Hij noemt een serie problemen met het protocol en de implementatie waarvan er vele niet specifiek zijn voor OpenID maar voor elke manier van online authenticatie en sommige zelfs voor het internet in het algemeen. OpenID is een open systeem dat door iedereen geïmplementeerd kan worden op het veiligheidsniveau dat men zelf wenst, hierdoor valt er niks te zeggen over OpenID in het algemeen. Dit zien sommigen als een zwakte, maar het is tegelijkertijd ook een kracht.
Een probleem wat relevant is, is dat je OpenID provider weet wanneer je bij welke sites inlogt en die informatie kan correleren en gebruiken. Dit is waardevol voor een speler als Google en een interessante reden voor ze om OpenID aan te bieden.
OpenID is ook gevoelig voor phishing maar vrijwel elk webformulier en site is daar gevoelig voor. Het is dus niks nieuws en ook niet specifieke voor OpenID maar wel iets om op te letten (en iets waar door de OpenID gemeenschap aan gewerkt wordt).
Verder kwam ook het argument naar voren dat gratis niet bestaat en dat het daarom gewantrouwd moet worden. Dit argument komt in Nederland wel vaker genoemd wat betreft Open Source en Open Standaarden. Het wil er klaarblijkelijk bij de Nederlandse handelsgeest niet in dat er dingen van waarde aangeboden kunnen worden waar niet voor betaald hoeft te worden. In een gratis ecosysteem worden dingen van waarde gecreëerd in ruil voor niet-monetaire waarde of wordt er geld verdiend via andere leveringen of advertenties. Chris Anderson schrijft meer over de dynamiek en de afwegingen van gratis in zijn boek FREE.
De meeste OpenID providers zijn nu gratis. Iedereen die wil kan een betaalde provider oprichten en een hoger veiligheidsniveau garanderen. Dat is het voordeel van een open federatieve technologie.
In een open systeem waar uiteindelijk een community voor verantwoordelijk is en wat gratis is, is er ook niet zoiets als patch en vulnerability management zoals dat traditioneel begrepen wordt in de zakenwereld. De verantwoordelijkheid wordt hierin toch wel degelijk genomen. Zo is er kort geleden een veiligheidslek in OAuth (een verwante technologie) snel gerepareerd door een brede samenwerking van een los verband van ontwikkelaars en bedrijven (beschreven op Read Write Web). Dit is niet belangeloos gebeurd omdat iedereen die mee heeft geholpen er belang bij heeft dat er een open en veilig autorisatiesysteem online bestaat waar iedereen vertrouwen in kan hebben.
Rosendaal maakt een goed punt dat een primaire driver van OpenID gemak is en dat gemak vaak haaks staat op veiligheid. OpenID wordt vaak ingezet om accounts op sites met relatief weinig geassocieerde waarde te authenticeren en om simpele gegevens zoals NAW, geslacht en geboortedatum te verspreiden. Voor dit soort dingen is (nog) geen twee factor authenticatie nodig. Voor dat gemak volstaat OpenID en de huidige implementatie op dit moment prima. Zodra het wijder gebruikt wordt en ingezet wordt voor gevoeligere data, zullen de veiligheidsniveau’s navenant moeten worden opgeschroefd. OpenID biedt hier de faciliteiten voor maar dwingt het wijselijk niet van het begin af aan af.
Waar OpenID genoemd wordt denken mensen ook snel aan DigiD. Het identiteitssysteem van de overheid wat sporadisch wordt ingezet (en wat de meeste mensen waarschijnlijk alleen kennen van hun jaarlijkse belastingaangifte). Roselaar laat vervolgens live een demo zien waar hij met een XSS aanval een DigiD formulier op de site van de gemeente Beverwijk weet te kraken en de ingevulde gebruikersnaam en wachtwoord kan achterhalen. Commerciële implementeerders en gesloten standaarden zijn dus ook geen garantie voor veiligheid.
De conclusie is in ieder geval dat 100% veilig niet bestaat en dat dingen niet spontaan veilig worden. Het credo is: Plan-Do-Check-Act.
Hyvesprofiel een OpenID
Yme Bosma van Hyves geeft een presentatie waarin hij de implementatie en de motivatie van Hyves om OpenID te ondersteunen uitlegt.
Echte namen en sterke identiteit wordt gangbaarder online maar het moet allemaal écht gebruikersvriendelijk en makkelijk. Hij geeft het voorbeeld van de nieuwe Hyves-inlog op Mysteryland die echt makkelijk is en die gebruikt wordt door 50% van de mensen.
Hyves gebruikt OpenID vooral voor gegevens die binnen Hyves al zichtbaar zijn en die relatief statisch zijn. Er is een immense behoefte van mensen om hun persoonlijk gegevens en hun vrienden op Hyves in te zetten op andere sites. Zoals Timan ook schrijft zal Hyves binnenkort de REST API van OpenSocial ondersteunen. Sociale gegevens worden dan uitwisselbaar tussen alle sites die die API ondersteunen.
En wat voor veel mensen interessant is, is dat Hyves net zoals Facebook binnenkort ook OpenID’s van andere sites zal gaan accepteren.
OpenID toegepast binnen de overheid
Leon Kuunders geeft een voorbeeld van hoe OpenID kan worden toegepast binnen de overheid. In zijn presentatie duikt hij diep in de minutiae van hoe de rijksoverheid werkt en wat de behoeften aan identiteitsmanagement zijn.
Één van de grootste voordelen van OpenID is het vervangen van gebruikersnaam en wachtwoord. In plaats van voor elke dienst die vooraf te genereren en te verspreiden aan iedereen kunnen mensen nu inloggen met hun OpenID en de juiste gegevens uitwisselen. Dat verlegt de verantwoordelijkheid en zorgt voor een hoop gebruikers- en implementatiegemak.
Waar OpenID voordeel biedt is dat het een simpel protocol is en dat er voldoende open source code voor handen is om het snel te implementeren.
Nationaal Initiatief voor ConsumentenID
Paul Brackel presenteerde als laatste het nationaal initiatief voor ConsumentenID wat een verwant initiatief moet worden om consumentenidentiteit aan de man te brengen. Het is de vraag of dat nodig is en wat ervan terecht gaat komen maar ik wens hem van harte succes.
Conclusie
Concluderend kun je zeggen dat het aanbod aan OpenID nu eindelijk goed zit en dat dat het essentiele fundament is voor een wijdverspreid gebruik. Ik denk dat mede door evenementen als deze waar de voor- en nadelen van OpenID uiteengezet worden en waar de business case wordt gepresenteerd, OpenID in Nederland de komende tijd een grote vlucht zal nemen.
Wat je tijdens het event wel merkte is dat het online identiteitslandschap redelijk gebalkaniseerd is met de daarmee gepaard gaande spraakverwarringen en semi-conflicten. Er zijn legio andere identiteitsstandaarden die hier en daar geïmplementeerd worden en binnen de firewall spelen vast nog allerlei dingen, maar OpenID is dé standaard voor het open web die veel gebruikt wordt en waar iedereen in kan participeren. Dat maakt het duurzaam en voorbereid op de toekomst.
Het andere belangrijke punt van de dag is dat er een sterke wisselwerking is tussen gebruiksgemak en veiligheid. Zonder gebruiksgemak kan er geen sprake zijn van veiligheid ofwel omdat gebruikers dan niet snappen wat ze moeten doen en onveilig handelen ofwel omdat ze een veilig product wat niet makkelijk in het gebruik is laten schieten voor een makkelijker product. De uitdaging is om technische veiligheidsprofessionals samen te laten werken met user experience ontwerpers om aantrekkelijk doch veilige oplossingen te creëren.