Identiteedivargus ja OpenID
Tormise "austaja" poolt varastatud rate.ee parool või "hea sõbra" "meelde jäänud" kasutajatunnused online mängus - identiteedivargus on midagi millega tuleb leppida.
Või siis mille vastu võidelda.
Seni kuni identiteediga seonduvat lahendatakse (veebi)rakendustes luues andmebaasi "kasutajad" kus on väljad "kasutajanimi" ja "parool", ei ole tänu inimeste laiskusele ja teadmatusele suurt valgust tunneli otsas näha. Vaja on teavitustööd mida ka usinasti tehakse või kasutada tehnoloogilisi vahendeid. Näiteks OpenID nimelist vahendit.
Mis on viga paroolidel? Küsimusele "kes?" vastatakse kasutajanimega ja küsimusele "kuidas (tõestad, et oled see kes väidad ennast olevat)?" vastatakse salasõnaga. Kaotades "kuidas?" osa võib "kes?" muutuda kasutuks (või on selle taastamine tülikas ja pikk protsess) või "kuidas?" varastamisega võib pahalane elu lõpuni "kes?" olla.
Ka OpenID (mille turvalisuse kohta on laias maailmas küsimusi esitatud) ei ole võlujõuga vitsake. Näiteks OpenID stealthisidentity.myopenid.com (kes?) (pane silmad kinni, seda ei ole näinud: parool on sama mis kasutajanimi) on parooli (kuidas?) kaotsi minnes kasutu (sest ei kasutanud registreerimisel e-maili aadressi) või veelgi hullem - kui keegi selle teada saab võib ta üle võtta kõik veebilehed kus ma eales selle OpenID-ga käinud olen.
Appi tuleb aga võlujõuga kaigas ID-kaart (ning kaudselt isikukood ja @eesti.ee aadress)
Sinu nimi (või ka isikukood) on midagi, mida keegi ei saa ära võtta. Seega "kes?" - ehk minu OpenID open.id.ee/martin.paljak - on midagi mille kohta võiks ütelda, et see "kes?" elab ID-kaardi sees. Ja nagu alati on võimalik kaotatud või varastatud ID-kaardi asemel uus ID-kaart saada kus on endiselt Sinu nimi peal, nii on alati Sinu OpenID Sinu oma.
Kuidas? Kuidas kinnitada, et oled see kes väidad ennast olevat ? Turvalisemat vahendit kui ID-kaart (või tulevikus mobiilID) ei ole masside jaoks hetkel olemas.
Isegi kui pahalased sunnivad hiinapiina abil enda ID-kaardi või mobiilID PIN koodid välja ütlema ei ole Sinu OpenID (ja seega kõik need veebilehed kus seda kasutad) "üle võetav" - sest kohe kui saad kätte uue ID-kaardi oled jälle enda OpenID peremees (seda muidugi juhul kui pahalased peale piinamist ellu jätavad...).
Loo moraal: ID-kaardiga OpenID - midagi mida põhimõtteliselt ei saa varastada - on hea vahend identiteedivarguste vastu in da wild wild web.
open.id.ee on tõesti väga tore lahendus.
Kas mobiil-id ühenduse ka plaanid teha?
Järgmine nädal on 'ametlik' open.id.ee v0.1 avamine.
Seniks paluks kannatust ja erinevaid kommentaare ja tagasisidet kas http://ideelabor.ee/opensource kaudu või e-mailiga martin@paljak.pri.ee
[...] seletustesse, miks ja kuidas ID-kaart hea on (ennekõike kasutajale endale) ja kuidas sellega saab privaatsust ja virtuaalset anonüümsust kaitsta ja ka alusetut lahmimist [...]
Segaseks jääb nimekaimude OpenID. https://open.id.ee/martin.paljak võib ju olla ainus, aga Mart Kask ja Mari Tamm ei saa ju sama ID-d kasutada... Või?
WK: Selle eest kannab hoolt SK. Riiklikud hammasrattad panevad paika kodaniku @eesti.ee aadressi ja see kes ei ole esimene saab mart.kask.13@eesti.ee aadressi ja seega open.id.ee/mart.kask.13 OpenID. Mis saab mart.kask.1 OpenID-st kui see Mart Kask peaks surma saama on hetkel minu jaoks teadmata.
Ära sa jumala eest pane ilmutatult kirleldust ja näidist openid.ee lehele, kuidas mina, kui oma veebisaidi arendaja, openid.ee teenust kasutada saaksin...
[...] (sellel teemal väga hea lugemine Arvutimaailma 2005 aasta numbris Eneken Tikk sulest) olen kasutanud isegi - eeldusega, et selle tulemuseks oleks “permanent [...]