Uspěje OpenID v českém kabátu?

Včera se v pražském hotelu Angelo konal druhý ročník celodenní konference E-Business Forum, která je zaměřena na témata, jež se týkají praktického provozování e-businessu. Konferenci pořádá Asociace pro elektronickou komerci (APEK) ve spolupráci s TUESDAY Business Network. Pojďme se podívat na zajímavou službu, která byla představena v rámci dopoledního bloku. Ten se věnoval oblasti online plateb a identifikace.

MojeID aneb OpenID a la CZ.NIC

Služba mojeID, za kterou stojí správce tuzemské národní domény sdružení CZ.NIC, využívá technologie OpenID. Předpokládá přitom, že uživatelé jsou na Internetu zahlceni množstvím přihlašovacích údajů, které si musí pamatovat a navíc při každé nové registraci je po nich vyžadováno vyplnění údajů ve formulářích. Nesjednocená identifikace je jednoznačně velkou překážkou pro používání služeb napříč poskytovateli.

Nutnost neustále nových a nových registrací může uživatele od používání některých služeb odradit. Z hlediska poskytovatele zase existuje problém, že nemůže rychle a efektivně ověřit totožnost uživatele, respektive často neví, kdo se za danou virtuální identitou, ve skutečnosti skrývá. OpenID a na něm postavené služby jsou právě pokusem o sjednocení uživatelských účtů napříč Internetem.

Obousměrnou a transparentní podporu pro OpenID přitom už před dvěma lety implementoval Seznam.cz. Nicméně možnost přihlásit se prostřednictvím OpenID k českým online službám či e-shopům není zatím příliš rozšířená a to má CZ.NIC spuštěním mojeID ambici změnit. Služba MojeID je sice založena na technologii OpendID, podle marketingového ředitele CZ.NICu Pavla Tůmy je ale rozšířena o některé zásadní vlastnosti, díky kterým by mohla být přínosná jak pro uživatele, tak pro poskytovatele služeb. Existuje totiž sice velké množství poskytovatelů identit, převážně ale neručí za relevanci a pravdivost údajů, které uživatelé při registraci vyplní.

Pavel Tůma, marketingový ředitel CZ.NIC, na konferenci E-Business Forum. Foto: Ivana Dvorská, Lupa.cz

CZ.NIC v roli databáze identit

Celý systém funguje tak, že CZ.NIC vystupuje v roli databáze OpenID identit. Uživatel si na stránkách mojeID založí účet, kterým se následně může přihlašovat do služeb, které přihlášení prostřednictvím mojeID podporují. V okamžiku, kdy se uživatel přihlásí prostřednictvím mojeID účtu ke službě, u které ještě nemá zřízený klasický účet, může mu jej provozovatel této služby velmi jednoduše zřídit díky dotazu na údaje o daném uživateli z databáze mojeID. Uživatel si přitom může zvolit, jaké údaje chce s jednotlivými poskytovateli sdílet, a to pro každého zvlášť.

Při každém přihlášení prostřednictvím mojeID navíc dochází k synchronizaci údajů v databázi poskytovatele s údaji o uživateli v databázi mojeID, tím je pro poskytovatele zaručena aktuálnost dat. Funguje to ale i opačně. Když uživatel mění některé své údaje v databázi poskytovatele, má možnost tyto úpravy synchronizovat s databází mojeID.

Schéma fungování služby

Všichni uživatelé mojeID budou ověření. První úroveň ověření bude spojena už se samotnou registrací, a to pomocí e-mailu, a dále jednou ze tří následujících metod: pomocí telefonního čísla, klasického papírového dopisu či prostřednictvím digitálního certifikátu. Toto řešení sice nedokáže úplně zamezit jednomu uživateli vytvářet několik různých virtuálních identit, ale minimálně mu takové jednání do určité míry zkomplikuje.

Chceme vědět, kdo se skrývá za identitou

Druhá úroveň počítá s fyzickým ověřením totožnosti kontrolou údajů v občanském průkazu, buď přímo v sídle CZ.NICu, či na některém z validačních míst. Počítá se také s možností validace ověřeným elektronickým podpisem. Otázkou ale je, zdali takový postup mnoho uživatelů spíše neodradí. Nemyslím tím, že by chtěli tajit svoji reálnou identitu, ale pro určitou část z nich bude představa dostavení se na určité místo pro kontrolu údajů neakceptovatelná, byť například jen z časových důvodů.

MojeID podporuje více metod přihlašování. Kromě prostého zadání hesla je možné uživatele ověřit prostřednictvím certifikátu, výhledově se počítá i s jednorázovými hesly zasílanými například formou SMS zprávy.

Vzrušenou debatu vyvolala skutečnost, že CZ.NIC bude díky archivaci jednotlivých přihlášení prostřednictvím mojeID znát digitální stopy svých uživatelů. V praxi bude disponovat informacemi o tom, kdy, jak často a kam uživatel na Internetu chodí. Taková data by se bezesporu nabízela využít pro marketingové účely. Pavel Tůma musel přítomné několikrát ujišťovat, že se bude jednat o interní, oddělenou a zabezpečenou databázi, ke které se nikdo z dalších subjektů nedostane. Navíc tyto údaje podle jeho prohlášení nehodlá CZ.NIC, jako nekomerční poskytovatel, využívat ani pro své vlastní účely.

Panelová diskuse, kterou ovládly otázky ohledně bezpečnostních aspektů služby mojeID. Foto: Ivana Dvorská, Lupa.cz

Zdarma i placená

Služba bude zdarma jak pro uživatele, tak pro poskytovatele, kteří se ji rozhodnou implementovat. Nicméně bude existovat i placená verze, která poskytovatelům přinese určité výhody, ale na druhou stranu i povinnosti. Firma, která bude mojeID využívat bezplatně, bude mít standardně přístup pouze ke jménu uživatele. V tomto případě bude export dat z databáze fungovat systémem opt-in, tedy uživatel si sám rozhodne, zdali chce konkrétnímu subjektu poskytnout více údajů než jen jméno.

U placené verze, která bude stát tisícovku ročně, bude muset firma s CZ.NIC podepsat smlouvu, ale za to bude mít přístup ke všem údajům, které uživatel při registraci vyplnil. I v tomto případě má ale uživatel možnost rozhodnout, k jakým údajům bude mít konkrétní firma přístup, tentokrát se tak ovšem děje systémem opt-out.

Implementovat službu je možné už nyní, do ostrého provozu bude spuštěna ale až 26. října. Úspěšnost mojeID je těžké odhadovat. Bude záležet především na tom, kolik se podaří CZ.NICu přilákat uživatelů a zdali získá pro svůj projekt partnera mezi velkými tuzemskými internetovými hrá­či.

       

Důležitý bude také fakt, zdali u uživatelů nepřeváží strach z bezpečnostních aspektů, a to ne ve smyslu možného úniku dat, ale skutečnosti, že se citlivé informace, obsahující osobní údaje a chování na Internetu, archivují na jednom místě. Je to akceptovatelná daň za pohodlí jednoho přihlašovacího údaje pro celý Internet? To musí posoudit sami uživatelé.

Pořídili byste si účet u mojeID? Myslíte si, že mají podobné služby založené na OpenID šanci uspět jako nástroj ke sjednocení identifikace na Internetu?