È dello scorso mese di dicembre l’annuncio ufficiale della versione 2.0 di OpenId, che si candida a divenire lo standard de facto per il sign on singolo decentralizzato. Si tratta di un progetto open source nato con il fine esplicito di favorire il la …
È dello scorso mese di dicembre l’annuncio ufficiale della versione 2.0 di OpenId, che si candida a divenire lo standard de facto per il sign on singolo decentralizzato. Si tratta di un progetto open source nato con il fine esplicito di favorire il lavoro dei blogger, facendo leva su un network distribuito e decentralizzato. Permette, infatti, ai soggetti di portare le proprie identità e credenziali da un sito a un altro, senza dover creare account di login diversi per ciascun blog.
L’utente potrà loggarsi semplicemente fornendo una Url, che riporti il server dal quale si sta collegando e sul quale risiedono i dati identificativi. Questo sito potrà, quindi, fornire una dichiarazione dell’identità dell’utente agli altri siti che supportano OpenId. Le aziende che hanno vetrine online e offrono prodotti e servizi su Internet potrebbero facilitare sensibilmente le operazioni di login con l’utilizzo di questa specifica. La caratteristica fondamentale di OpenId è il fatto che il sistema è completamente distribuito. Questo comporta che qualsiasi identity provider sia in grado di gestire autonomamente l’autenticazione, limitandosi a comunicare ai relying party (i clienti) se il login ha avuto successo, attraverso il redirect alla loro pagina di benvenuto. OpenId specifica un’estensione, detta Simple Registration (Sreg), che fornisce agli utenti degli attributi riconoscibili e riutilizzabili dai partner che forniscono le credenziali. Quando le aziende che hanno riconosciuto OpenId utilizzano Sreg, sul loro modulo di registrazione appaiono in automatico i dettagli di registrazione relativi all’utente (nome, indirizzo di posta elettronica, nickname preferito e quant’altro serva a identificarlo). Già alcune aziende, Sun Microsystems in testa, hanno iniziato a fornire un’identità OpenId ai propri utenti e molte altre, non solo nel settore It, si preparano a seguirne l’esempio. La sua potenziale pericolosità per le aziende è legata alla progressiva diffusione dei blog interni, che potrebbero portare a un’apertura dei database utenti ad attacchi potenziali da parte dei malintenzionati.
Una delle principali critiche mosse al sistema si basa sul fatto che i dati vengono comunicati essenzialmente in chiaro, usando il protocollo Http. Le falle di sicurezza, inoltre, renderebbero OpenId particolarmente soggetto ad attacchi di phishing. Un partner malintenzionato potrebbe, ad esempio, reindirizzare l’utente a una pagina di identificazione gestita da un finto identity provider, richiedendogli di ridigitare le proprie credenziali. Una volta ottenute queste informazioni dall’identity provider con il quale è in combutta, il truffatore potrebbe utilizzarle per accedere sotto mentite spoglie ad altri servizi. Alla luce dei suoi limiti, quindi, in futuro, con tutta probabilità le organizzazioni potranno utilizzare OpenId come specifica di identificazione per le attività che non hanno riflessi di carattere monetario, come l’assistenza ai clienti o i blog, e Saml (Security assertion markup language) per le attività più rischiose sotto il profilo finanziario, come la gestione delle extranet o della supply chain. Il dato più recente (gennaio 2008) attesta che sarebbero già 120 milioni gli OpenId presenti su Internet e il mondo di operatori sul Web che supporta la specifica, cui di recente si sono aggiunti anche Yahoo (che con i suoi 280 milioni di sottoscrittori triplicherebbe la base utenti attuale) e Google (attraverso la piattaforma Blogger), conta circa 10.000 siti federati. Tra i vendor informatici che già hanno assicurato il proprio appoggio alla specifica, VeriSign e Symantec, ma anche Microsoft ha ammesso che sta valutando questa possibilità.
