OpenID: le mie (grosse) perplessità
Venerdì, 8 Febbraio 2008
Alla vigilia della pertenza per un weekend meneghino (nel quale, come di consueto, cercherò di rivedere qualche amico e fare il punto su un paio di idee), mi ritrovo con un tema che mi sta particolarmente a cuore - ovvero i meccanismi di autenticazione centralizzata - sul quale vorrei spendere due parole.
Notizia di ieri: Microsoft, Google, Verisign e IBM entrano a far parte della corporate board del progetto OpenID e dimostrano, evidentemente, il loro interesse per la nota tecnologia di autenticazione centralizzata decentralizzata (attenzione: non é un ossimoro, capirete meglio in seguito). Sebbene l’utente finale possa essere rallegrato dal successo della suddetta tecnologia e illuso dalla vana speranza di non dover ricordare migliaia di password, rimangono proprie di OpenID alcune criticità e un colossale paradosso che non riesco a togliermi dalla testa.
Punto uno. OpenID nasce con la finalità di centralizzare su un unico provider la pratiche di autenticazione sui propri account sparsi per il web, delegando ad esso la verifica delle proprie credenziali di accesso (tipicamente username e password). Poiché ogni azienda facente parte della corporate board del progetto può diventare provider di autenticazione OpenID, l’utente dovrà scegliere a quale di essi affidare il proprio account unico. Visto che ognuno di loro possiede già un proprio database di milioni di utenti (che nel frattempo saranno stati convertiti in OpenID), non sarà realmente possibile avere una sola identità, ma si finirà per doverne attivare una per ogni OpenID provider (poiché nessuno consentirà di accedere ai propri servizi “interni” loggandosi con OpenID fornita da altri provider). Siamo certi che, a questo punto, non fosse meglio un sistema centralizzato (ovvero basato su un solo provider di credenziali) indipendente e opportunamente “monitorato” da un ICANN della situazione?
Punto due. OpenID si presta a centralizzare, oltre che i meccanismi di autenticazione, anche la fiducia degli utenti (e quindi i rischi di trappole phishing e di furto d’identità!). Quali strumenti addizionali vengono forniti agli utenti per verificare la reale identità del sito dell’OpenID provider presso il quale tenteranno di inserire la propria username/password combination? Ve lo dico io: nessuno, oltre alla verifica visuale dell’URL nella barra dell’indirizzo!
OpenID, infine, non dispone di meccanismi centralizzati per la revoca degli account delle relying party (ovvero dei siti che lo sfruttano per semplificare l’accesso ai propri utenti), funzionalità che sarebbe stata davvero utile, se presente!
Concludo invitando chiunque utilizzi OpenID ad approfondirne i criteri che ne regolano il funzionamento, per fare in modo che la pura illusione di semplificare la propria vita online non si tramuti semplicemente in nuovi rischi per la propria sicurezza.
Blog4biz parla di 
Puntuale e inevitabile come la morte l’ActionPack trimestrale giunge sulla mia scrivania e mi propina le novità Microsoft 2007, fra le quali - a proposito di morte - non manca Windows Vista Ultimate Business Gold Platinum Extra-Full Entertainment Edition (non si chiamava così? Devo aver fatto confusione..).
