Přinese služba mojeID do Česka konečně funkční OpenID?

Minulý týden se v Praze konala konference E-Business Forum, na které vystoupil také Pavel Tůma, který je ředitelem marketingu a komunikace v organizaci CZ.NIC. Ten hovořil o službě mojeID, která bude spuštěna 26. října a měla by nabídnout stabilní základ pro nasazení OpenID v Česku.
Čtěte také: Ondřej Filip, CZ.NIC: OpenID ještě nikdo nechytil za správný konec.

Jak používají uživatelé hesla

Na začátku své přednášky vysvětlil Pavel Tůma úskalí použití klasických hesel. Čtyřicet procent uživatelů používá ve všech službách jedno heslo, podle Tůmy se nejedná o příliš časté uživatele internetu, protože v takovém případě by jim určitě už jedno heslo nestačilo. Poměrně velká skupina uživatelů používá hesel větší množství. Celá čtvrtina uživatelů používá čtyři a více hesel.

To je samozřejmě poměrně dobrá zpráva z hlediska bezpečnosti, výrazně horší je ale pak už používání služeb z pohledu uživatele, který musí mít ve svých heslech pořádek a musí si jich pamatovat poměrně velké množství. Čím více používají uživatelé internet, tím více hesel samozřejmě potřebují. Poměrně velké množství uživatelů pak svá hesla neukládá správným způsobem, velká část z nich si je zapisuje na lístečky na monitoru či si je připichuje na nástěnku. Tato skupina tvoří asi 22 % uživatelů. Další lidé ukládají informace do svého mobilního telefonu, ale nevíme, zda šifrovaně, či ne, zmínil Tůma.

CZ.NIC chce nabídnout řešení těchto problémů a už 26. října chce nabídnout novou službu mojeID. Ta bude postavena na standardu OpenID (viz článek na Zdrojáku) a nabídne jednotné přihlašování skrze jeden centrální účet a jedno heslo.

Proč by to mělo zajímat poskytovatele

OpenID obecně řeší především problémy uživatelů spojené s častou registrací a množstvím různých hesel ke službám. Z tohoto hlediska tedy nepřináší v zásadě nic nového pro poskytovatele, který už implementoval přihlašování na vlastních serverech. CZ.NIC ale slibuje, že služba mojeID přinese podstatnou výhodu i poskytovatelům obsahu či služeb.

Poskytovatele dnes trápí problémy s podvodnými objednávkami či spamem v diskusích pod články, řekl Tůma. V současné době se s podobnými problémy nedá příliš mnoho dělat. Zablokovaný uživatel si okamžitě může vytvořit další účty, k tomu potřebuje jen e-mailovou adresu a těch si vytvoří na freemailech kolik chce, shrnul situaci Tůma. Služba mojeID by měla tyto problémy řešit velmi elegantně – pomocí ověřování uživatelů.

První úroveň ověření proběhne už při zakládání účtu a proběhne ve dvou krocích: pomocí e-mailu a další metody, která zabrání tvorbě neomezeného počtu účtů. K dispozici budou tři ověřovací metody: pomocí telefonního čísla, papírového dopisu nebo digitálního certifikátu. O tomto uživateli sice nebudeme vědět, kdo to doopravdy je, protože si může své údaje vymyslet, ale máme jistotu, že si nebude moci vytvořit ohromné množství účtů. Každou z těchto metod bude možné využít jen jednou za určitý časový úsek, Tůma zmínil, že například jedno telefonní číslo bude možné pro registraci použít jednou za tři měsíce.

K dispozici ale bude ještě jedna úroveň, která kromě výše uvedeného omezení zajistí také ověření správnosti údajů, které uživatel do systému zadá. Tato validace bude probíhat fyzicky ověřením občanského průkazu na některém z validačních míst, případně pomocí elektronického certifikátu. Druhou metodu bude možné provést na CzechPointu, vysvětlil Tůma. Přestože některé údaje se mohou měnit (e-mail, telefon), základní informace jako je jméno či poštovní adresa, budou ověřeny a uloženy v databázi. Takového uživatele pak budete znát a v případě podvodu se s ním můžete třeba soudit.

Jaká data uživatel zveřejní

Při zmínce o OpenID se mnoho uživatelů ptá, jak to bude s ochranou osobních údajů a které informace o sobě budou skrze tuto službu sdělovat. Při každém přihlášení přes mojeID dostane poskytovatel aktuální data, která má o sobě uživatel v profilu uložená, řekl Tůma, ale zároveň uklidňuje, jako uživatel ale máte nad celým procesem kontrolu a můžete určit, které informace chcete konkrétnímu poskytovateli předat.

Uživatel přitom bude dotazován při každém přihlašování, takže bude moci nejen nastavení změnit, ale uvidí také případné neaktuálnosti údajů. Navíc je možné údaje pohodlně změnit přímo u poskytovatele a pak je odeslat do svého centrálního profilu. Uživatel tak bude jednoduše udržovat údaje aktuální.

Bezpečnostní mechanismy

Drtivá většina běžných internetových služeb nabízí jako jedinou metodu autorizace pomocí hesla. Implementace dalších metod přihlášení je poměrně složitá, na druhou stranu bez nich pak hrozí prolomení hesla a odcizení účtu. Služba mojeID nabídne dvě další možnosti: přihlášení certifikátem či jednorázovým heslem zaslaným SMS či vypočítaným pomocí „kalkukačky“.

Způsob přihlášení si bude moci zvolit uživatel, ale i konkrétní služba. Pokud si poskytovatel myslí, že jeho aplikace je velmi důležitá a ověření heslem je nedostatečné, může si vyžádat jinou metodu, popsal bezpečnostní možnosti Tůma.

Pavel Tůma také zdůraznil, že CZ.NIC je neutrální a důvěryhodný poskytovatel služby a z hlediska uživatelů se tedy jedná o lepšího partnera než v případě komerčního subjektu. Výhoda proti komerčním poskytovatelům služeb je v tom, že naší hlavní činností je poskytování registru domén. Od nás nehrozí, že bychom nějak zneužívali obchodní informace, které skrze mojeID získáme.

Jak to implementovat

Už nyní je možné se na příchod služby mojeID připravit. Služba běží v testovacím provozu a na webových stránkách je možné stáhnout kompletní implementační manuál. Neobávejte se toho, že implementace bude znamenat nějaké astronomické náklady, uklidnil Pavel Tůma. Na internetu existují svobodné knihovny pro práci s OpenID, které jsou vytvořeny ve všech možných programovacích jazycích a jsou připraveny k nasazení. Tyto knihovny pro vás udělají 80 % práce. Zbylých 20 % je úprava uživatelského rozhraní a přihlašovacího dialogu.

Dále je třeba zajistit práci s účty. Novému uživateli můžete nabídnout založení nového účtu a pokud už existuje starší účet ve „starém systému“ musíte nabídnout uživatelům propojení tohoto účtu s OpenID účtem. Musíte také vyřešit situaci, kdy vyžádáte od uživatele některé informace a on vám je odmítne vydat. Zbytek za vás udělají knihovny.

V současné době je možné s implementací začít, služba je v testovacím provozu a je plně funkční. Zatím ovšem nenabízí například možnosti rozšířeného ověření. Pro testovací účely jsme nechtěli uživatele trápit čekáním na ověřovací dopis, takže rozšířená validace zatím není možná. K plnému spuštění služby dojde 26. října.

Co bude dál

V současné době už tři měsíce běží testovací provoz. Během něj si podle Pavla Tůmy založilo identitu jen několik desítek lidí. Ono to skutečně nemá příliš smysl, protože před ostrým startem všechny založené identity smažeme, potvrdil Tůma. Důvodem je především to, aby později všichni prošli kompletním procesem ověření.

CZ.NIC připravuje také kampaň cílenou na koncové uživatele i poskytovatele služeb a připravuje také program společné marketingové komunikace. Poskytovatelé, kteří zavedou mojeID, mohou připravit vlastní kampaň a my se pak budeme podílet na nákladech na tuto kampaň, prozradil Tůma.

Podstatnou informací také je, že služba bude jak pro uživatele, tak i pro určité poskytovatele služeb zcela zdarma. Důvodem je především snaha vrátit prostředky z registrací domén zpět české internetové komunitě. Díky tomu, že budou uživatelé mojeID předávat své údaje poskytovatelům, ke kterým se budou přihlašovat, je otázkou, jak s těmito osobními údaji budou nakládat sami tito poskytovatelé služeb. Proto budou existovat dva typy poskytovatelů. Ti první můžou mojeID zavést sami a CZ.NIC o nich nemusí vůbec vědět. U takových poskytovatelů chceme chránit uživatele tím, že jim budeme poskytovat údaje formou opt-in. S druhou skupinou uživatelů uzavřeme smlouvu, která bude jasně specifikovat, za jakých podmínek budou moci tito poskytovatelé služeb s údaji o uživateli nakládat. Těmto subjektům potom budeme poskytovat údaje formou opt-out, vysvětlil Pavel Tůma.

Dalším problém by mohl představovat Úřad pro ochranu osobních údajů. S Úřadem jsme samozřejmě dlouhodobě v kontaktu. Nepředpokládáme žádné problémy, protože už řadu let provozujeme registr domén, uzavřel svou přednášku Pavel Tůma.

Bude to fungovat?

OpenID je jistě zajímavý a vyspělý protokol, který by mohl především uživatelům přinést mnoho pozitivního a mohl by jim ulehčit práci na internetu. Bohužel zatím se nenašel dost silný lokální partner, který by v Česku tuto službu nabídl v takové kvalitě, aby strhl pozornost poskytovatelů obsahu či provozovatelů e-shopů a tím pak sekundárně i pozornost uživatelů samotných.

Služba mojeID nepřináší z technického hlediska vůbec nic nového, ale nabízí jinou podstatnou věc – jméno CZ.NICu a stabilní zázemí. Pokud má vůbec OpenID v českém prostředí šanci prorazit, pak právě tímto způsobem.