OpenID, MojeID a další: jedno heslo stačí na všechno

16. 12. 2011

Sdílet

 Autor: Redakce

U mnoha webových stránek víte, že už se pravděpodobně nevrátíte a heslo stejně zapomenete, ale přesto musíte do přihlašovacího formuláře zadat hromadu osobních údajů. Jakmile se vám to podaří a přijde potvrzovací email, máte účet na dalších stránkách, který byste neměli zapomenout. Možná si přihlašovací údaje napíšete na už tak dost plný papírek.

klic

Zjednodušovat si to tím, že budete všude dávat stejné heslo, je celkem velké bezpečnostní riziko a vymýšlet nová vás někde u padesátého přestane bavit. Jak to ale řešit? Již řadu let existuje věc zvaná OpenID.

OpenID  vzniklo při vývoji blogovacího systému LiveJournal v roce 2005 původně pod názvem Yadis (Yet another distributed identity system) a nyní provoz zajišťuje společnost JanRain. Hlavní myšlenkou je tzv. centralizované přihlašování, tedy mít na vše jediný ověřený účet s jediným heslem. Mohlo by se zdát, že to je přece také bezpečnostní riziko, a částečně je to pravda, ale v tomto případě o vašem hesle naopak žádný web neví.

Zjednodušen řečeno, OpenID jen potvrdí, že jste to vy, ale vaše heslo již nikomu nesděluje. A dotyčný web tomu věří a bere vás jako přihlášeného. Tento způsob přihlašování přes třetí stranu ovšem musí web podporovat a sám nabízet a zde je kámen úrazu.

Problém je rozšíření

OpenID není jediná služba, ale nabízí ji více navzájem nezávislých poskytovatelů. Zaregistrovat se můžete třeba přímo na stránkách openid.net, respektive myopenid.com, což je vůbec první OpenID služba přímo od tvůrců. Zde získáte svůj účet ve tvaru jméno.myopenid.com.

Můžete ovšem využít toho, že OpenID účet zřejmě již dávno máte. OpenID jako takové není závislé na žádné centrální autoritě a tak jej od roku 2008 začaly podporovat některé velké společnosti, jako je Google, IBM a Microsoft, později se přidal i český Seznam. Ovšem nikoliv tak, že by umožnily přihlášení ke svým službám pod univerzálním účtem OpenID, ale naopak prohlásili svoje účty za OpenID a nabídli ostatním webům, že je mohou využívat pro přihlašování ke svým službám.

Pokud tedy máte Google účet nebo Live ID účet (Microsoft), máte automaticky i OpenID. Znamená to jediné - s takovým účtem se můžete přihlásit k úplně jiné službě, než pro kterou byl tento účet vytvořen. Pokud to ovšem daná služba podporuje, což je stále problém.

Najednou se nepotřebujete registrovat ke každé službě, do každého eshopu, jenže je tu problém: podporu takového přihlašování najdete jen na několika málo (milionech, ale ve světovém měřítku je to málo) webech a to ještě půjde pokaždé o jiné OpenID.

Sociální sítě jedou na sebe

K rozvoji přispěly v poslední době hlavně sociální sítě, které si ale zavádějí vlastní autentizace a celé se to zamotává. Každý chce mít kontrolu nad daty svých uživatelů a myslí si, že právě jeho služba je dost velká na to, aby ostatní přijali přihlašování právě přes ni. A tak se prosadil Facebook, který nyní houfně nasazují ostatní weby pro přihlášení ke komentování článků.

Služba vhodné například na:
Google ID služby Google, diskuzní fóra
Live ID služby Microsoftu
Moje ID eshopy, diskuzní fóra
Facebook diskuzní fóra
Twitter drobné sociální služby
nebo prostě jak vám to vyhovuje

Jenže na to jdou špatně, protože Facebook není služba pro univerzální přihlašování. Vlastně vás nutí, abyste měli účet na sociální síti, jinak pro ně nejste zajímavý uživatel a žehrají na to, že penetrace Facebooku je mezi obdobnými službami asi největší.

Často totiž vůbec nenabízí jinou variantu. Je důležité dát uživateli na výběr: někteří se chtějí přihlašovat postaru, jiní chtějí využít OpenID a jiní se třeba nechtějí přihlašovat vůbec. Ale říkat někomu: abys mohl psát komentáře například na tomto zpravodajském webu, musíš se zaregistrovat na facebook.com a jinou možnost nemáš - to by se dle našeho názoru dít nemělo. Takové weby je lepší ignorovat.

Jak to tedy funguje?

Provozovatel (například) eshopu se rozhodne, že chce svým uživatelům ulehčit život a svému programátorovi přidat více práce. Zavede tedy na své stránky modul, který získá od poskytovatele OpenID a uživatel najednou vedle starého tlačítka registrovat a přihlásit uvidí nový prvek ve stylu Přihlásit přes Google.

Jako byste měli jediné heslo a nemuseli se již nikdy registrovat

Pokud na něj kliknete, stránka vás přesměruje na poskytovatele přihlášení, v tomto případě na stránky Google. Tam se přihlásíte svým heslem ke Googlu (většinou už přihlášení jste). Poté vás Google přesměruje zpět a řekne eshopu, že jste Pepa Novák, bytem Prčice, máte tento email a používáte tuto profilovou fotku (avatar). Eshop si vás ve své databázi spáruje a je to. Jste přihlášeni, můžete nakupovat a ušetřili jste si zdlouhavou registraci.

Celá tato operace se děje na pozadí a je přesně definované, co si o vás obě strany řeknou. Eshop se zeptá, kdo jste, Google mu tyto informace předá a eshop si je zařadí do své databáze uživatelů. Vlastně proběhne registrace, jen jste pro ni nemuseli nic udělat. Vaše heslo k účtu Google se nepřenáší.

Nejlépe samozřejmě je, pokud eshop nabízí přihlášení nejen přes více služeb, ale také svoji vlastní registraci. Vy se můžete rozhodnout, přihlásit se přes co chcete a druhá strana si to dovede správně spárovat v jedinou osobu.

České OpenID

Před rokem se objevila na českém internetu nová služba MojeID. Měla zajímavou virální reklamu, ovšem kritici jí zazlívali, že je vlastně zbytečná a že jen kopíruje již existující OpenID. Za projektem stojí sdružení CZ.NIC, což je správce národní domény, tedy žádná konkrétní soukromá firma.

Princip je stejný, jako u OpenID, jen je to české a přívětivější. Zaregistrujete se na stránkách www.mojeid.cz a zadáte svoje údaje. Podle toho, kolik jich zadáte, tolik jich také budete moci využívat. Můžete zadat jen jméno, nebo rovnou vyplnit svůj věk, číslo občanky a řadu dalších podrobností. MojeID si jejich správnost ověří třeba i zasláním dopisu s aktivačním kódem.

Na webech, kam se budete přes Moje ID přihlašovat, se ale tyto údaje nikdo dozvědět nemusí. Moje ID potvrdí pouze to, co web požaduje a vy to můžete odmítnout. Například potvrdí, že je vám skutečně 18, předá vaši korespondenční adresu a nákup v "diskrétním eshopu" je hotov. Pokaždé máte kontrolu nad tím, co se o vás web dozví a pokud by se vám to nelíbilo, jednoduše to zakážete. Není totiž třeba sdělovat každému webu vše, některému může stačit jen přezdívka pro přístup do komentářů.

Přesně rok byl potřeba k tomu, aby Moje ID nasbíralo 40 000 uživatelů a začaly jí brát vážně i větší české weby. Přes Moje ID se nyní můžete přihlásit už i na náš nový ExtraPC.cz a brzy také na všechny weby Cnews.

Rozšířené je to, co má nejvíc uživatelů

Stejně vlastně funguje i přihlašování přes Twitter i Facebook. Twitter se používá jen jako doplňkové přihlašování k drobným službám, u kterých to má smysl, například na různé úložiště obrázků, nebo na výborný český projekt Srazy.info.

bitcoin_skoleni

Facebook lze k těmto službám použít také, ale jinak bych u něj byl opatrný, protože vaši činnost na cizích stránkách často využívá i jinak a může se dokonce objevit na vaší zdi, aniž byste to chtěli. Na Facebooku navíc můžete mít falešný účet, zatímco Moje ID lze mít ověřené až na úroveň elektronického podpisu. Pro obyčejné komentování je však přihlášení přes Facebook díky svému rozšíření přece jen pro většinu uživatelů nejsnazší.

Přihlašování pomocí těchto služeb je velice pohodlné, ale přesto je několik druhů webů, kde se to opravdu nehodí. Na váš primární email a do banky se raději přihlašujte pěkně postaru. Původní OpenID je mezi uživateli rozšířeno velice málo, přestože se jím dá přihlásit například i na Seznam. Vyzkoušejte si přihlašování přes sociální sítě i přes Moje ID, ušetří vám to spoustu času.

Extra názor: Jan Čarek, šéfredaktor Extra PC

Univerzální účty jako MojeID nebo OpenID dokonale charakterizují moderní pojetí internetu a jeho uživatele. Nejedná se pouze o uživatelské jméno, ale vlastně o jakousi internetovou identitu. Výhody takové identity jsme zatím měli možnost okusit s Facebookem, jakmile přihlašování pomocí sítě začaly podporovat mnohé weby a diskuzní fóra.

Podpora otevřeného standardu OpenID u nás zatím není dostatečná, věřím ale, že je to jen otázka času. Bude skvělé, když si budeme muset pamatovat jen jediné jméno a heslo pro všechny oblíbené stránky a webové služby. Na druhou stranu je hrozivá představa, že nám takový OpenID účet někdo odcizí.

Autor článku

Šéfredaktor Cnews.cz, dříve editor Computeru. Nadšenec do notebooků a příznivce kompaktních smartphonů. Najdete mě na Twitteru nebo LinkedInu.