Proč používat OpenID

To přirovnání ke klíči na začátku je naprosto přesné. Bohužel jste však nezmínil i další otázku, která by měla následovat po té motivační: "A jak by se vám líbilo, kdyby ten klíč měl v držení nějaký centrální správce, který by ho mohl rozmnožit, kolikrát by chtěl, a rozdat, komu by chtěl?"

Osobně si myslím, že používání OpenID je velice špatný nápad. Proti opovrhovanému ukládání hesel do prohlížeče má jen jedinou pochybnou výhodu, že totiž teoreticky může uživateli ušetřit registraci do nové služby (sice jsem ještě neviděl žádnou službu, která by se spokojila s existujícím User ID a nevyžadovala další údaje, ale teoreticky existovat může); proti tomu ovšem přidává obrovský single point of failure, který (narozdíl od toho ukládání hesel):

1) Obvykle není pod kontrolou uživatele.
2) Musí být přístupný z internetu, tudíž je z principu zranitelnější.

Klíč od sejfu v bance bych OpenID nesvěřil. Přeci jenom vkládáte důvěru k ověření do rukou třetí straně. Ale jako přihlášní do sociálních sítí ano.

však si každý může zprovoznit vlastní OpenID server

Před časem jsem (nejen) o OpenID psal seriál: http://zdrojak.root.cz/serialy/moderni-internetove-autentizacni-metody/

OpenID je pro mne absolutní nesmysl. Ztratit jeden klíč - nepříjemnost, ztratit jeden jediný klíč "od mého života" je definitivní průser. Tzn. nikdy bych nechtěl mít jeden jediný klíč na všechno. Osobně jsem se s různými zastánci OpenID mnohokrát bavil a nikdy mi nebyl nikdo schopen předložit argumenty, které bych byl schopen připustit jako přínosné. Pro mne nesmysl (a to se bavím jen o ideové stránce, praktická - viz. nástin v druhém odstavci příspěvku pepaka).

ad 3] ano, stejně jako si každý může upravit opensource aplikace tak, aby mu lépe vyhovovaly. Teorie se od praxe bohužel velmi odlišuje. Drtivá většina lidí si nemůže zprovoznit vlastní OpenID server.

[1] OpenID je bezpečné. Sdílíte hromady informací bez mrknutí oka. Email s osobní korespondencí taky nemáte doma na mailu, nemáte vlastní jabber server, váš web taky neběží na vašem webserveru ve sklepě. (A pokud ano, tak nejste normální... uživatel). Výběr OpenID poskytovatele se nesmí podcenit, to ne, ale narozdíl od všeho výše zmíněného není nereálné si zřídit (a udržovat) OIDServer doma a informace sdílet jednodušše a bezpečně skrz něj.

Je jasné, že z hlediska bezpečnosti není řešením mít jediný účet na všechno. Ale mít jeden účet na komunikaci (email, IM, ...), jeden na každou kritickou aplikaci (banka, firemní loginy, ...) a jeden na všechno ostatní (i.e. OID) je dostatečné.

S velkým množstvím ulehčení přichází i určité riziko. Každý se musí už sám rozhodnout zda pro něj usnadněný čas a přidaná hodnota vyvažuje zvýšené riziko. Ke svému bankovnímu účtu nebo PayPal bych OpenID také nepoužila, ale idea, že bych mohla místo nesčetných registrací na stránkách, kam se chci sice podívat jen na jednu věc ale bohužel bez registrace neprojdu, mi přijde velmi příjemná. Vyměnila bych speciální e-mailovou schránku jen na registrační e-maily za jednotný účet, který by mi "odemkl" celý internet hned. Bohužel to není dostatečně rozšířené, to už je druhá věc.

A ke komentáři č.5 - Šance, že bych zapomněla přihlašovací údaje k účtu, který bych používala prakticky každý den mi přijde zanedbatelná, ale ani to není vyloučeno. Na druhou stranu speciální hesla která musím vymýšlet kvůli regulím některých stránek (např. z důvodu že neakceptují čísla v heslu, nebo musí mít maximálně X znaků) zapomínám dnes a denně.

[8] "Sdílíte hromady informací bez mrknutí oka" - Možná byste se divil.
"Email s osobní korespondencí taky nemáte doma na mailu" - Mám.

Mohl bych polemizovat i s dalšími věcmi, které podle vás nemám, ale to není podstatné. I kdybych je skutečně neměl, tak to nic nemění na jedné zásadní věci: Na žádném z daných míst nemám _všechno_, takže mě chyba nebo zlý úmysl na straně provozovatele jedné služby sice možná poškodí, ale nezničí.

Btw., byl bych ochoten se vsadit, že drtivá většina těchto služeb je bezpečenější než by byla drtivá většina takových "podomácku provozovaných" OpenID serverů.

[7] nejde o zapomenutí přihlašovacích údajů, ale o jejich kompromitaci (způsobů se najde dost).

OpenID je krásná věc, autoři nemají hamtavé úmysly a díky samotné podstatě protokolu ani majitel webu nepřijde o plnohodnotného uživatele (tedy získá jeho mail pro další komunikaci). Jenomže - v Čechách je OpenID zabito díky stupidně vyřešenému nástupu openid.cz (nic nefungovalo když vývojáři chtěli zkoušet) a jediný podporující je tady Seznam. Bohužel, u nás na webu OpenID používáme a v porovnání s FB Connect jsou čísla naprosto mizivá, i když bychom raději OpenID. Pro geeky fajn (tedy pokud někdo neuhodne heslo), ale ve světě to pomalu vypadá, že je dobojováno .(

[9]OK, jinak. OpenID chce implementovat NIC (http://jdem.cz/chtq6), což je podle mně dostatečně důvěryhodný poskytovatel, pokud jde o bezpečnost dat. Techie, který má doma spuštěný POP3 a SMTP server není běžný uživatel, ale mizivé procento a nemá žádnou vypovídající hodnotu.
Dále - proto, aby vás to "nezničilo" se vyplatí používat několik účtů - ve smyslu více než jeden - ne pro každou službu sólo.
Ohledně toho sdílení informací - dáváte je k dispozici např.: platbou za internet svému ISP, svému poskytovateli bankovních služeb, svému zaměstnavateli, ... A myslím, že vaše rodné číslo bude bezpečněji uloženo na serverech NIC.CZ, než založené v šanonu v kanceláři firmy. Pokud by skrz e-banking někdo zjistil komu jste odeslal peníze na účet a kolik, tak by to byla nebezpečná věc, to že si tyto údaje prohlíží pracovnice na poště pokud odesíláte peníze poukázkou, to nevadí.
Internetová bezpečnost se nesmí podceňovat, avšak se to s ní nesmí ani přehánět.

[11]FBC je k ničemu pro rozumné použití. Člověk nemá přímý přístup ke klientově emailu a ten proxy-email je tragédie - nedá se na něj ani odpovědět, nedá se přiložit příloha, ... k ničemu. Například pro registraci do e-shopu je to nepoužitelné, pro registraci ke komentářům ke článku možná :)

[12] - vo svojej argumentacii prehliadas jeden podstatny aspekt a to je 'DATA NA HROMADE'...
tu nejde o to ze niekto ide konkretne po tvojich datach(ak by isiel, tak sa mozes zahrabat kamkolvek a tie data si aj tak zozenu)

ale ide o to ze je moznost(podla mna celkom velka) ze tie data hromadne niekto ukradne, kupi.. a to je nebezpecne, nie to ze da niekto 5000CZK upratovacke v nemocnici aby prefotila konkretne tvoju zdravotnu kartu

napriklad par rokov dozadu 'sa zobrali' data zo Slovenskej poistovne - komplet mena, rodne cisla, cisla obcianskych preukazov, adresy , predmet poistenia

"..NIC, což je podle mně dostatečně důvěryhodný poskytovatel, pokud jde o bezpečnost dat."
len za posledny rok sa prevalilo tolko kradezi dat(cisla kreditiek, identit) od bank, od obchodnikov(myslim ze tam bol napriklad Wallmart) ze je naivne si mysliet ze NIC to ochrani naveky

[13]"...par rokov dozadu 'sa zobrali' data zo Slovenskej poistovne..." šak to jsem měl na mysli tím "Sdílíte hromady informací bez mrknutí oka".

Přikladem budiž to, že kdybyste měl skutečně strach o svá data apeníze, tak byste nepoužíval např. kreditku. Většina populace ji však stejně používá, protože mezní užitek z jejího používání je větší, než mezní ztráta v případě ejího zneužití.

A konkrétní detaily bezpečné implementace budou dílem trhu, na kterém bude po takových službách poptávka. Úplně vidím nějaké SecureOID, které bude fungovat na tom, že bude držet veškerá ta data někde přísně střežená a bude za ně ručit. Přihlášení bude nutné potvrdit druhým kanálem (opsáním kódu doručeného SMSkou, atp).

A nutnost nemít jediný OID na všechno od banky přes email a IM, jsem již zmínil, ale to patří snad k základním zásadám a není to žádná chyba OID.

Data na hromadě jsou prakticky současný stav. neznám žádného BFU, který by měl jiná hesla k mailu a bankovnictví (pokud to není vyžadováno - např. má heslo TEREZA a je vyžadováno písmeno, číslice a spec. znak). Takže získáním jednoho hesla získává útočník přístup ke všem ostatním. A v tomhle OID pomáhá, protože heslo není uloženo jednotlivě u každého poskytovatele (věřili byste, že některé eshopy mají furt hesla v plaintextu?!), ale na nepoměrně lépe zabezpečeném serveru OID poskytovatele.