domingo, 23 de agosto de 2009

La necesidad de OpenID

¿Cuantas veces uno llega a un sitio que podría resultar interesante, pero lo abandona en el momento de registrarse?

En algunos sitios, el proceso de registrarse surge como una manera de garantizar privacidad y permitir personalización. Sin embargo en otros sitios, se exigen datos privados (email, nombre, dirección) sin que haya una necesidad verdadera. Un ejemplo de sitios donde es necesario identificarse puede ser un webmail, para mantener la privacidad del correo. Un ejemplo de un sitio donde es innecesario es un diario online, donde no hay razón para exigir al usuario identificarse antes de leer una noticia.

Sea cual sea la razón, el proceso de registración implica varios puntos negativos para el usuario:
  1. Pérdida de tiempo en el proceso de registrarse.
  2. Entregar información privada a desconocidos.
  3. Encontrarse ante la situación de tener que manejar una cantidad cada vez mayor de nombres de usuario y contraseñas o...
  4. Tener que conformarse con recurrir a un numero reducido de contraseñas que son reutilizadas en distintos sitios.
El primer punto es solo una perdida inmediata, pero los siguientes tres puntos pueden llevar a una pérdida mayor de datos (hackeo de cuentas).

Esto hace que uno se plantee muchas veces evitar conocer nuevos sitios. Personalmente, me encontré en la situación de descubrir 5 redes sociales sobre un mismo tema pero finalmente entrar solo a un par, para evitar el problema de tener que registrarme 5 veces.

Es aquí donde entra OpenID. OpenID es una tecnología reciente, que permite a los usuarios obtener una identificación reutilizable. La idea es que uno registra su nombre de usuario y password en un sitio de confianza, y luego lo utiliza para ingresar en cualquier sitio que soporte esta forma de identificación.

Asi, por ejemplo, uno puede crear un OpenID en Google Accounts y luego utilizarlo para ingresar a Scribd, StackOverflow, StumbleAudio, o cualquier otro.

Es asi que cuando llego a uno de estos sitios, especifico que poseo un OpenID de Google, para luego ser redirigido a Google Accounts, donde verifico mi nombre de usuario y contraseña. Una vez que termina el proceso de identificación, Google me envía nuevamente al sitio inicial.

En forma efectiva, OpenID es una tecnología para delegar el proceso de registro e identificación de usuarios a una empresa en la que el usuario confíe.

Pero... ¿No es poner todos los huevos en una sola canasta?

Efectivamente, uno puede utilizar esta tecnología para tener un solo usuario/password. En caso de que alguien descubra estos datos, puede ingresar a cualquier sitio donde el usuario esté registrado.

Sin embargo, en la actualidad la situación no es mejor. Los métodos de recuperación de password mediante una cuenta de email presentan la misma vulnerabilidad. Un intruso que descubra el nombre de usuario y password de tu cuenta de email puede usarlo para "recuperar" la contraseña de cualquier sitio donde estés registrado con ese email. Mucha gente se preocupa en mantener distintos usuarios y contraseñas para miles de sitios, pero usa el mismo email en cada una de las cuentas, lo que implica que efectivamente solo tienen un password (el de la cuenta de email) mediante el cual se puede acceder a todas las otras cuentas.

La solución es... no poner todos los huevos en una sola canasta. Esto significa que uno puede crear distintos OpenIDs y utilizarlos en distintos contextos. Uno puede tener un OpenID para utilizar en sitios prescindibles, con un password fácil de recordar, y tener un OpenID para usar en sitios donde la seguridad es crítica.

OpenID es una herramienta destinada a simplificar la vida del usuario e incrementar la seguridad en muchos aspectos. Pero no es una solución invulnerable.

¿Cómo conseguir un OpenID?

Eso es fácil, probablemente ya tengas un OpenID sin saberlo:
  • Si tenés una cuenta de Google (gmail, google docs, analytics, etc) o Yahoo ya tenés un OpenID.
  • Si tenés un blog en blogger o Wordpress, tu OpenID es la dirección misma del blog (Por ejemplo, ezequielpozzo.blogspot.com es un OpenID válido)
Pero también hay muchos otros proveedores de OpenID, en particular hay empresas cuya única función es proveer OpenID de manera segura.

¿Cómo instalar OpenID en mi sitio?

Eso depende del sitio. Si uno tiene un blog en blogger, es posible activar OpenID para permitir a los lectores dejar comentarios identificándose con su OpenID.

Pero todos los sistemas gestores de contenido como Joomla o Drupal y Frameworks como Django o Ruby on Rails tienen agregados que permiten soportar OpenID.


En otros posts voy a explicar otros planteos frequentes contra OpenID y como OpenID es parte de una serie de tecnologías como Open Social que otorgan mas libertad al usuario sobre sus datos privados e información personal.

2 comentarios:

  1. Buen post. Necesito cosultarte algo: ¿Cómo integrar un blog de Blogger a un sitio que no está hecho en Blogger?, es decir, instalar en un sitio propio el blog, pero como una página más. Mira por ejemplo esto: http://www.alpendorf.com.ar/blog.htm

    ResponderEliminar
  2. Podes usar un iframe para incrustarlo. Esto es lo mas fácil.

    Podes usar el API de blogger http://code.google.com/apis/blogger/ Esta es una solución mas técnica y requiere programar.

    O podes hacer algún injerto atado con alambre, tomando un template de Blogger (fijate que la página que me diste tiene cosas rarísimas en el código fuente, como links a archivos locales de una pc de windows con un usuario llamado Lucas (!!) ). En esa página, al menos a mi, no me andan los comments.

    ResponderEliminar

Podés comentar lo que quieras. Si puteas, perdés.

Licencia


Creative Commons License
Esta obra de Ezequiel Pozzo se encuentra bajo una licencia Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5 Argentina License.
Se puede obtener permisos mas allá de los otorgados por esta licencia en ezequielpozzo.blogspot.com.