CZ.NIC připravuje zavedení OpenID

Od 29. října do konce tohoto roku nám můžete komentovat dokument popisující zavedení OpenID v České republice. V tomto návrhu představujeme nejen OpenID jako takové, ale také jeho výhody a například technické řešení.

Uvítáme, když se nám budete chtít k tomuto projektu a jeho řešení vyjádřit. Své nápady a připomínky můžete napsat do komentářů pod tímto textem nebo na e-mailovou adresu openid@nic.cz.

Předem vám děkujeme za pozornost, i za připomínky.

Ondřej Filip

Autor:

Komentáře (6)

  1. Jirka Daněk říká:

    Nápad je to velice zajímavý. Nejsem si jistý, proč bych měl chtít něco takového využít, proč bych měl vůbec chtít svěřit svoje osobní údaje jakémukoli správci identit, ale, proč ne.

    Dokument jsem si přečetl, ale i po přečtení dokumentu bych měl několik otázek:

    Jak bude vypadat samotné OpenID – identifikátor?
    Jak se zajistí, aby byl unikátní? Něco jako jmeno_prijmeni_nahodnecislo@openid.nic.cz? Nebo uživatel@uživatelovadomena.cz – to asi ne…?

    Kolik to bude stát?
    V dokumentu se píše, že poštovné pro ověřovací dopis zaplatí NIC, ale co ostatní náklady?

    Kdo bude mít přístup k mým informacím?
    Bude možné nějak určit, kdo má přístup k mé adrese? E-mailu? Věku?

    Mám webovou stránku. Uživatel se mi přihlásí pomocí OpenID od NICu. Mám v tomto případě jistotu, že třeba údaj o zletilosti je pravdivý? Obstojí to třeba před soudem?

    S tím možná souvisí, jestli mohu mít v systému víc účtů? Tedy stav, kdy jedna osoba má více identit.

  2. Jaromír Talíř říká:

    Je na rozhodnutí každého z nás, jestli chceme nebo nechceme pokytnout své osobní údaje. Naší motivací je nabídnout těm, kteří nám již své údaje svěřili (jako držitelé domén), více možností, jak těchto údajů využít. Přičemž samozřejmě nechceme službu omezit jen pro držitele domén.

    OpenID identifikátor bude v doménovém tvaru kontakt.id.nic.cz, kde předpokládáme, že místo kontakt bude identifikátor kontaktu z centrálního registru. Nové identity si budou moci tuto část identifikátoru zvolit libovolně, pokud nebude kolidovat s nějakým již existujícím záznamem. Specifikace OpenID (kap. 11.5.1.) počítá i s případem, kdy jeden identifikátor má ve své historii více osob. Pro potřeby identifikace u poskytovatele služeb se pak na konec OpenID identifikátoru přidává nějaký unikátní fragment.

    Co se týká nákladů, naší snahou je maximálně využít vyladěnou infrastrukturu doménového registru. To by mělo minimalizovat náklady na spuštění služby. V rámci vlastního provozu by měly být pokud možno vyvážené provozní náklady na identifikaci a validaci kontaktů spolu s příjmy od poskytovatelů služeb, kteří budou informaci o této validaci údajů požadovat.

    V rámci protokolu OpenID je možné některé údaje předat poskytovateli služby (e-shopu, portálu…). Zjednoduší se tak například registrace a výhodou bude také udržování aktuálních údajů jen na jednom místě. To, jaké údaje se poskytovateli služby předají, bude mít plně pod kontrolu sám uživatel. Bude si moci nastavit, kterému poskytovateli předat jaká data a v případě, že poskytovatele ještě nezná, po autentizaci mu bude zobrazeno, která data se o něm budou předávat. Pokud s tím uživatel nesouhlasí, má možnost toto předání odmítnout.

    Pokud se stanete registrovaným poskytovatelem služby využívající naše OpenID pro svou webovou stránku, předáme vám u každého uživatele informaci, zda jsme si u něj jeho identitu a např. věk ověřili. Pokud o to budeme požádáni soudem, samozřejmě doložíme všechny doklady, které toto ověření dokazují.

    Počet identit, které má jeden uživatel, bude limitován v zásadě jenom tím, že budeme vyžadovat, aby zjištěné základní identifikační údaje nebyly duplicitní (e-mail, telefon,..). Toto by mělo zabránit jak zneužití identity někoho jiného tak zároveň tomu, aby měl uživatel např. jednu soukromou identitu a jednu pracovní.

  3. Dan Suchy říká:

    Mozna bych se zamyslel nad tim odmazavanim jednou pouziteho identifikatoru k dane identite. Na jedne strane chapu to odmazavani zdanlivych mrtvolek po pul roce nepouziti (zabraneni neumerenemu rustu databaze atd), na druhe strane by mohlo hypoteticky dojit ke zneuziti identity na zaklade odmazani a nasledneho pouziti identifikatoru nekym jinym. Je otazkou, zda je mazani zde racionalne zduvodnitelne. Analogii k pohledu muze byt postoj RIPE k nic-handle, kde driv „znovupouziti“ mozne bylo, ale uz se prislo na to, ze to neni uplne nejrozumnejsi reseni… a dnes jednou pouzity identifikator pouzit nelze (tudiz se logicky ne zcela maze a v databazi zustava, pak tedy ani neni duvod zavadet nejake „lhuty“).

  4. Jirka Daněk říká:

    V prvé řadě díky za vysvětlení.

    Opravdu bych se přimlouval, aby jednou použité identifikátory v databázi zůstávali. Myslím si, že když tedy služba funguje jako „Jeden indentifikátor (skoro) zdarma na celý život,“ bude to tak lepší.

    Osobně si ale myslím, že tahle služba není pro mě. Jedna identita mi přijde taková příliš svazující, jako univerzální (nejlépe RFID:( čipová karta, se kterou „zanechávám stopy“. Tak nějak jsem uvykl na internet jako na v praxi spíš více než méně anonymní prostředí, a univerzální identifikace mi tuhle představu bourá…

    Samozřejmě chápu, že NICid můžu používat jen tam, kde chci a přinese mi to nějaké výhody. Třeba na Aukru.cz by mi pak (teoreticky, když ověřování implementují) odpadly starosti s prokazováním poštovní adresy…

    Což mi připomíná, že mi není jasná ještě jedna věc. Ten OpenID identifikátor je interní záležitost? Na webu, kam se s ním přihlásím, můžu mít bez problémů libovolné uživatelské jméno, že? Tím pádem návštěvnící webu nemají šanci si mě spojit mezi různými webovými portály. To teoreticky můžou jedině poskytovatelé těch služeb, kteří jediní znají můj identifikátor.

    Plánujete možnost ověření při loginu pomocí třeba SMS, jako to mají web bankingy? Nebo jednorázová hesla? Přece jen půjde o velice univerzální účet, který stojí za to důkladně zabezpečit… hlavně při přihlašování přes veřejné počítače…

  5. Jaromír Talíř říká:

    OpenID identifikátor zadáváte na webu nějakého poskytovatele služby. Tento poskytovatel si typicky tento identifkátor sváže s nějakým vašim účtem, pokud již jste u něj nějaký měl, nebo tento identifikátor vloží do nově vytvořeného účtu. Je pravděpodobné, že poskytovatel služby bude nabízet i jiný druh přihlášení než přes OpenID, například nějakým svojim interním přihlašovacím jménem a heslem. V takovém případě máte možnost volby mezi tím přihlásit se buď těmito interními údaji nebo univerzálním OpenID identifikátorem.

    Ano, plánujeme také zavedení jednorázových hesel jak je uvedeno v dokumentu.

Zanechte komentář