OpenID está mais perto

Apesar de já ter abordado o tema do OpenID, retomo-o, porque houve desenvolvimentos e trata-se de um protocolo de autenticação para ficar.
As novidades estão relacionadas com a recém-criada associação OpenID Portugal e com a manifestação de um maior interesse e receptividade de instituições (ministérios, universidade, instituições bancárias, associações comerciais, etc.) que poderão vir a assumir o papel de fornecedores de serviços OpenID.

Mas uma outra novidade inegável é a actual abundância de informação sobre o tema, volvidos que são seis meses desde que tratei este assunto no blog. Diagramas, vídeos, white papers, e muito mais. Não resisto a colocar aqui uma representação divertida do drama vivido por muitos internautas. A analogia com a Hidra das muitas cabeças reflecte claramente o incómodo de ter de preencher formulários de registo (sign on) por cada website que interessa e ainda ter de reter uma série de logins e passwords. Porque começa-se pelo endereço de correio electrónico, mas depois segue-se o Flickr, o Youtube, o Facebook,e muitos outros. É perfeitamente comum um utilizador regular da Internet possuir muitos registos.

//openidexplained.com
Autores: Omer Bar-or e Benjamin Thomas em URL<http://openidexplained.com&gt;

Já se está a ver que, por contraste, o rapazito da direita usa OpenID. É reconhecido pelos vários websites/ serviços, usando o mesmo login/ password. Trata-se de um único registo válido para uma multiplicidade de websites, por isso esta tecnologia é conhecida por Single sign on (SSO). Mas é óbvio que o website que nos interessa tem de dispor do serviço OpenID, ou seja, de um formulário para esse efeito. Isso será cada vez mais frequente no futuro. Na imagem, vê-se um formulário com a opção OpenID. No primeiro caso, a pessoa não usou esse serviço, porque não possui OpenID ou não sabe o que é. No segundo caso, colocou o seu login e seleccionou esse serviço para um maior conforto e segurança.

sign_openid

O funcionamento do OpenID para identificação e autenticação da pessoa implica sempre três actores: a pessoa que quer utilizar os serviços de um website; a entidade responsável pelo website; a entidade que fornece o serviço de identificação digital, uma espécie de terceira parte ou mediador. Este terceiro elemento é fulcral, porque:

  • permite que o interessado se registe e crie a sua identidade digital, materializada num URL;
  • verifica a identidade da pessoa, assegurando aos websites que essa pessoa é efectivamente quem diz ser;
  • poupa imenso esforço ao utilizador e dá-lhe total controlo na gestão do seu perfil OpenID. Pois, o utilizador pode criar várias facetas do seu perfil, decidindo que dados são cedidos e o modo como é reconhecido num determinado website. Por exemplo, o nome de utilizador na página da faculdade pode ser “luismatos”, perfeitamente reconhecível, mas noutro website, pode usar um nickname.

Na figura que se segue, simulo uma ligação ao website da Wiki da Creative Commons em que quero participar. Como tenho OpenID (claudia.myopenid.com), selecciono essa forma de acesso. Vejamos o que se passa para que eu seja autorizada a entrar sem necessidade de login e password atribuídos pela Wiki do Creative Commons.

Funcionamento do OpenID

Planos do OpenID Portugal

Referi a criação da OpenID Portugal. Trata-se de uma organização sem fins lucrativos com um projecto ambicioso na manga, pode dizer-se. Para além da divulgação deste mecanismo de autenticação, planeia criar um plugin para o Firefox e desenvolver extensões do OpenID para mecanismos de segurança reforçados. Pormenores dos projecto estão acessíveis na entrevista que concederam ao SAPO Summerbits.

O plugin para o Firefox visa facilitar ainda mais a vida às pessoas. A autenticação é feita no início da sessão, não sendo necessário pedir para entrar nos vários websites que dispõem de OpenID visitados nessa mesma sessão. As extensões do OpenID é algo mais difícil de explicar. Mas começo por dizer que tenho usado indistintamente “identificação” e “autenticação”, quando, na realidade, não são sinónimos. E mesmo dentro da identificação, existem vários graus, consoante a segurança associada.

Como em outros casos, o protocolo do OpenID tem conhecido inúmeras especificações com níveis de segurança diferentes. Também existem websites que requerem elevada segurança, enquanto noutros uma simples identificação é suficiente. Foi a pensar em melhorar a confiança na navegação que a associação avançou com os projectos da criação da extensão OpenID para o cartão do cidadão (smart card) e com o reforço da identificação OpenID, complementada com dados biométricos, a usar em situações que o justifiquem.

E a verdade é que faz cada vez mais sentido o utilizador criar uma identidade digital que lhe permita relacionar-se com o Estado, fazer compras, assinar digitalmente contratos. Mas também é legítimo que tenha um avatar ou a um nickname, se for essa a sua vontade. Esta multiplicidade de identidades, ou melhor, facetas de identidade, é suportada pelo openID. No quotidiano digital, funcionará uma identificação simples nuns casos; noutros será exigível que a leitura do chip do cartão de cidadão seja feita e enviada ou que as impressões digitais, características da íris, etc. sejam elementos adicionais de identificação e autenticação, como já o é a assinatura digital qualificada.

Fornecedores de serviço de identificação OpenID

Em Portugal, está em experiência o SAPO, mas ao nível internacional existem muitos, além dos grandes nomes – Yahoo, Microsoft, AOL, VeriSign, Google, Sun Microsystems, Blogger e AOL, apoiarem e compatibilizarem serviços e software para este fim.

Alguns destes pesos pesados, têm evoluído nesta matéria. Por exemplo, o Google começou por disponibilizar acesso OpenID mediado por terceiros (myOpenid), mas passou a fornecedor do serviço este mês.

No site oficial do OpenID Foundation existe uma lista de fornecedores, mas a OpenID Portugal deixa a advertência de que é essencial escolher um fornecedor em quem se confie e com as garantias adequadas ao uso que pensamos fazer do OpenID.

Apesar da falta de neutralidade (o autor trabalha para a Viddop, um fornecedor de OpenID), penso que ajudará consultar a tabela comparativa dos vários fornecedores. Os parâmetros que serviram de análise podem funcionar para nós como pontos a que devemos estar particularmente atentos, quando escolhemos o serviço.

Recentemente, têm aparecido referências ao protocolo OAuth, um protocolo de identificação aberto como o OpenID, muito associado ao open social. Contudo, o OpenID tem a vantagem de já estar no terreno há mais tempo e de ter reunido em seu torno os grandes players da Internet.