BrowserID

[Sami Lehtinen]

BrowserID. Tästä asiasta on kirjoitettu ja keskusteltu paljon, mutta aikalailla vähän suomeksi. Mitä mieltä olette browserid:stä? Onko siitä jotain iloa? Mielestäni se on jälleen yksi järjestelmä joka tarjoaa suhteellisen vähän toiminnallisuutta, kuitenkin niputtaen tunnukset yhden tunnukset / autentikointi palvelun alle ja täten lisäten tietoturvariskiä.

https://browserid.org/

Pros:
- Kirjaudu joka paikkaan samalla tunnuksella
- Yksinkertainen

Cons:
- Jälleen yksi samanlainen järjestelmä
- Yksinkertainen, ei tarjoa merkittävää lisäarvoa
- Palvelu voi olla tietoturva aukko
- Meillä on jo Facebook, Google, OpenID, muut lukemattomat järjestelmät
- Sähköposti = Autentikointi (uh oh)

Mitkä on täällä teidän näkemykset asiasta? Oma näkemykseni on että jälleen yksi melkolailla turha viritys. Henkilökohtaisesti pidän siitä, että jokaiseen palveluun on omat vahvat tunisteet. Näin ollen ei ole yksittäistä palvelua, jonka kautta päästään murtautumaan kaikkiin palveluihin. Lisäksi syvästi vihaan ja halveksun ratkaisuita, jossa käytetään sähköpostiosoitetta identiteettinä. Kaikki tiedämme miten turvalinen sähköposti on. Joten mikä tahansa ratkaisu joka perustuu sähköpostiin on mielestäni lähtökohtaisesti huono.

Vastustan myös syvästi ajatusta sähköpostiin perustuvasta password recoverystä, koska sekin on erittäin turvaton ja huono käytöntä.



Edit jatkuu. Yhdessäkin verkkopalvelussa kirjautuminen onnistuu seuraavilla tunnuksilla: Google, Yahoo, Facebook, Live, OpenID, AIM, Livejournal, Smugmug, Technorati tai sitten saitin omilla tunnuksilla.  Ehdottomasti tarvitaan lisää vaihtoehtoja? Henkilökohtaisesti aina valitsen sivuston oman tunnistautumisen mikäli se on vain suinkin mahdollista. Jos vaativat mm. OpenID tunnistautumisen, luon yksittäisen OpenID tunnuksen jonka sitten kytken palveluun.

[Teho]

http://identity.mozilla.com/

Tuolta löytyy paljon palveluun liittyvää tietoa. Etuja siinä on ainakin riippumattomuus, turvallisuus, yksityisyys ja helppous. Kaikki tiedot voidaan säilyttää omalla koneella, ei tarvitse lukittautua yhteen sähköpostiosotteeseen eikä sen tarvitse olla tunnettu kuten muissa vastaavissa palveluissa. BrowserID on ensimmäinen tälläinen projekti joka ei pakota käyttämään suuryritysten palveluita.

[Sami Lehtinen]

Millä tavalla OpenID pakotti käyttämään suuryritysten palveluita?

Samalla tuo avoimmuus on yleensä se ongelma. Koska jos autentikoinnin voi tarjota kuka tahansa, onko se enää luotettava? Tämä käsitääkseni oli suurimpia ansoja mm. OpenID:n kanssa.

Edit: Tuossa vielä BrowserID demo-saitti, sitten kun tunnukset on hankittu: http://myfavoritebeer.org/

[Teho]

Millä tavalla OpenID pakotti käyttämään suuryritysten palveluita?

Olin jostain saanut väärinkäsityksen, että se vaati jonkun tunnetun palvelun käyttöä.

BrowserID vs OpenID:
http://identity.mozilla.com/post/7669886219/how-browserid-differs-from-openid

BrowserID protects the privacy of your Web activity

With BrowserID, by design, your identity providers are not involved in the login transaction. This means they need not be aware of your entire Web activity, a significant privacy advantage. With OpenID, your identity provider is, unfortunately, a necessary participant in the login flow.

Minulle tämä jo yksistään tekee BrowserID:stä tärkeän.

[Sami Lehtinen]

Kaksi ongelmaa tuossa edelleen on, todennäköisesti käyttöoikeuksia tulevat myöntämään vain suuryritykset. Lisäksi yksittäiset domainin haltijat voivat myöntää tunnuksia. Ongelma on sama luottamusketju ja sen ongelmat kuin SSL Certtien ja OpenID tapauksissa.

Kuka on luotettava taho ja kuka ei? Jokaisen sivuston joka käyttää tuota, pitää päättää luotettavista tahoista erikseen. Päästään nopeasti aivan samanlaiseen ongelmavyyhtiin kuin nykyjään sähköpostin kanssa, yllättäen palveluihin jotka vaativat sähköpostiosoitteen, ei voikkaan kirjautua kaikilla sähköpostiosoitteilla.

Suo on loputon.