Cos’è OpenID 2.0: un metodo di identificazione online decentralizzato che richiede di dimostrare il possesso di uno specifico URL per essere identificato. Tale possesso deve essere confermato sia dal sito che accetta l’autenticazione sia dall’host OpenID.L’URL in questione può provenire da tutti quei provider che supportano la specifica di OpenID. Tra questi MyOpenID, Sxipper, PIP di VeriSign, ma anche WordPress.
In pratica vediamo come funziona con un esempio pratico. Innanzitutto bisogna crearsi un url OpenID (unico per tutti i portali che supportano OpenID) che utilizzeremo sui vari siti per procedere con l'autenticazione al posto dello username (specifico per ogni sito). Personalmente ho scelto quello di Verisign che rilascia gratuitamente un url OpenID tramite il servizio PIP (Personal Identity Portal). Nel caso di Verisign l'url sarà "username.pip.verisignlabs.com" mentre se ad esempio si utilizza blogspot sarà http://nomeblog.blogsopt.com. Una volta effettuata la registrazione sul provider OpenID scelto e ottenuto l'url da utilizzare per l'autenticazione possiamo procedere con la login su un sito che supporta questo formato.
Proviamo a utilizzare il servizio di Microsoft Healtvault (in beta) che supporta l'auteticazione tramite OpenID. Accedendo a questo link http://www.healthvault.com/account e seguendo l'icona OpenID relativa accediamo a questa schermata
Come vediamo quindi è possibile utilizzare in alternativa all'autenticazione Windows Live l'autenticazione OpenID. Nel campo "sign-in" inseriremo il nostro url di autenticazione previamente creato su uno dei provider di accessi OpenID. A questo punto il sito ci ridirige alla pagina web del nostro provider OpenID su cui effetturemo l'autenticazione (unica e sempre uguale per tutti i siti web) e in cui autorizzeremo il sito Healtvault ad accedere al nostro account OpenID. In questo campo è anche possibile specificare se il nostro provider OpenID provvederà sempre a considerare trusted il sito in questione o se sarà trusted per un tempo limitato (consigliato).
Una volta autorizzato il sito riusciremo ad accedere al sito Healtvault, tutto tramite un unico meccanismo di login. Come nota di sicurezza: su Verisign è possibile specificare 2 livelli di sicurezza dell'OpenID. Nel caso si abiliti il massimo livello di sicurezza il sito Verisign non accetterà da siti esterni come ad es. quello di Healtvault la richiesta di autenticazione. Questo significa che prima di poter fare accesso a un sito che supporta OpenID è necessario fare la login in un'altra pagina sul sito PIP di Verisign. In questo modo si evita di fare l'autenticazione in seguito a una ridirezione presa su un sito gestito da terze parti (come appunto Healtvault) e potenzialmente essere rediretti verso pagine "copia" che imitano la login del nostro provider OpenID allo scopo di rubarci le credenziali.
Questo è un passo in più dato che precedentemente dobbiamo aprire un'altra pagina ed effettuare l'autenticazione ma data la capacità di utilizzare l'OpenID come chiave unica per accedere ai nostri profili su Internet direi che è necessario proteggere tali credenziali al massimo.
Traendo spunto da un divertente paragone letto su un blog ma che in questo caso può reggere riporto una celebre frase di un film:
"One Ring to rule them all, One Ring to find them,One Ring to bring them all and in the darkness bind them"
Data la sua enorme versatilità e capacità di gestire le autenticazioni su tutti i nostri portali, è di fondamentale importanza preservare il nostro account OpenID come chiave (o anello) primaria, in pratica la nostra singola chiave che le controlla tutte e permette di accedere a tutte le nostre porte.
Tratto da http://www.gzone.it
Nessun commento:
Posta un commento