Názory k článku
Moderní internetové autentizační metody

Třeba proto, že OpenID musí někdo vydat - windows LiveID je jedním z poskytovatelů OpenID.

Proto je právě OpenID aby nemusel.

Jako nic proti, ale pokud budeme porovnavat v danem kontextu vyhody live id a open id, tak jste docela dost mimo. i kdyz vemu open id, tak jsem prece vazan na konkretniho poskytovatele open id (napr. seznam). pokud se seznam rozhodne to zabalit, tak o danou identitu bez nahrady prijdu. tak v cem je ta vyhoda open id oproti treba live id (v kontextu zavislosti na firme)?

To nie je tak uplne pravda. Nevie sa totiz jedna vec. Vy mozete mat OpenID login pokojne aj http://mojserver/vy a pritom vam tam nemusi bezat ziaden SW na spravu openID identit. Jedina podmienka je, aby na danej adrese bol dostupny XML subor kde je popisane, kto je vasim realnym providerom. V takom pripade pride k presmerovaniu na daneho providera, co uz moze byt seznam. Ako uz mozno tusite, vyhoda je ta, ze pri zmene providera nepridete o login resp. jednoznacny identifikacny udaj.

Rozhodne bude zajimave sledovat, jak Facebook Connect zamicha prihlasovanim na internetu. Mozna ze skutecne nakonec OpenID bude pouzivat pouze par geeku a pro bezne uzivatele bude daleko srozumitelnejsi a jasnejsi Facebook Connect. Idealni pripad by vsak pochopitelne byl, kdyby Facebook zacal podporovat OpenID :)

Doufam, ze se Martin Maly bude v nejakem pristim clanku venovat prave i technologii Facebook Connect.

OpenID jako takové je dostatečně přívětivé i pro obyčejné uživatele (navíc od Seznamu ho má každý). Rezervy jsou spíš v implementaci u jednotlivých aplikací - např. pro vložení komentáře často nestačí zadat OpenID* ale uživatel musí projít normální registrací na daném serveru, vytváří si na něm účet, uvádí e-mail a pohodlnější je to jen o to, že při příštím přihlášení/komentování nemusí zadávat jméno a heslo, ale jen OpenID.

Jasně, že na cílovém serveru (blog, diskuse...) bude mít pravděpodobně uživatel nějaký svůj účet, záznam v DB. Ale proces vytváření tohoto účtu by měl být co nejvíce transparntní a uživatel by o něm pokud možno neměl vůbec vědět. A tenhle problém není až tak závislý na tom, jestli se použije OpenID nebo něco jiného.

*) nechat se přesměrovat na stránku poskytovatele OpenID, zadat heslo (nebo už může být přihlášen) a skočit zpátky a je odesláno.

"(navíc od Seznamu ho má každý)." každý zoufalec jako Vy? Dost možná, ale ten kdo jednou zažije ten mrdel v seznamu - již nikdy více!

Staci mi, ze moj poskytovatel netu vie, na ake stranky chodim a moze si veselo robit statistiky, takze vyuzivat rozne agregovane prihlasovania nebudem a povazujem to za celkom skodlive.

Mno od toho právě ty systémy jsou, aby se to nedalo poznat. Teda nevím jestli konkrétně OpenID, ale všechno se dá.

To vam muselo dat hodne prace nez jste tohle vymyslel ;)

Říká vám něco slovo "ALUCID"? Trvalá společná vystopovatelná identita může být opravdu průšvih. To, co jednou do Internetu vložíte, už nikdy nedostanete pryč. ALUCID je autentizační metoda, která jde jiným konceptem - anonymní identita ... zní to jako blbost co ? Alespoň mě, do té doby, než jsem pochopil princip. Začíná to podobně - máte "token", kde se udržují seznamy identit. Kazda jedna identita (proste jen číslo bez další identifikace) pro každou nezávislou autentizací doménu.
U každého providera je server zodpovědný za komunikaci s vaším tokenem. V serveru se spáruje číslo s vaší identitou, záleží na vás , co providerovi řeknete. Vtip je v tom, ze identita (tedy jen číslo), se v čase mění - náhodně, ale synchronně mezi vaším tokenem (je to vlastně malé PC) a serverem provideru. Takto se mění nezávisle identity mezi všemi vašimi providery a vaším tokenem - nezávisle, a přece každý provider vás dokáže identifikovat. Zatímco u klasického způsobu jednotného ID vás každý dokáže vystopovat třeba 10 let dozadu, a to u každého providera, protože máte JEDNO STEJNE ID, tak u ALUCIDu to z principu nejde.
Je to zatím stále ve vývoji, pochází to dokonce z Cech, otcem je kolega Libor Neumann. A ti ,kdo neomdlí z M$ formátu, tak více třeba tady - http://events.oasis-open.org/home/sites/events.oasis-open.org.home/files/ALUCIDv1.8_0.ppt

...kdyz uz asi 20 let mame k dispozici mnohem lepsi autentizacni metody, proc nekdo porad vymysli dalsi? (a nefunkcni)

openid-cokoliv bohuzel nikdy duveryhodne byt nemuze, jsme na internetu, zpusobu utoku&zneuziti mame k dispozici miliony. Zarazi me kolik lidi takhle hodi klice do kapsy nekomu dalsimu (kteremu mam neodbytne nutkani rikat "sberatel"). Nevim jestli existuje nejaky dobry duvod ktery by takovemu serveru branil zneuziti udaju. Vyse polozeny prispevek o vseobecne skodlivosti centralizace ma taky pravdu - je to postavene na hlavu a jeste proti obecnym zvyklostem spravne funkcniho internetu.

Kdyz jsem se uz zminil o existujicim reseni - to si kazdy nemuze proste vygenerovat dost bezpecny GPG klic (coz je DOSTkrat jednodussi nez vymysleni stejne bezpecneho hesla), a veci ktere chce autentizovat jim proste podepsat?

• heslo ma vsude stejne
• identita je zlomitelna _mnohem_ hure nez hesla
• identitu si drzi sam, muze s ni delat co chce, nedava ji nekomu jinemu

A jestli mi nekdo zacne tvrdit ze GPG ma zname bezpecnostni nedostatky, necht se zvedne z blogisku, porovna to s OpenID a zamysli se nad sebou.

PS. Alucid je _zajimave_ reseni, bohuzel nedostatky centralni spravy atp. mu zustavaji. Treba to nekdo doupravi ;)