用户们希望拥有一个可以访问所有网站的通用ID,但其中蕴藏的风险让许多网站踌躇不前。OpenID也许是目前最有可能实现这一梦想的希望之星了。
今年7月,当社交网络巨头MySpace宣布采用OpenID的消息传出后,这个通用登录体系的支持者立即为之欢呼雀跃。
OpenID基金会(OpenID Foundation)的执行董事比尔-沃什本(Bill Washburn)表示,随着MySpace的加入,OpenID支持的用户数量现已超过5亿。“显然,OpenID的发展势头才刚刚启动而已。”他说。
OpenID是“以用户为中心的ID变革运动”带来的最直观的高度演变成果之一。这一运动倡导的是建立一个由用户控制的通用型在线个人身份管理机制,将个人身份预存在一个安全的地方(如用户本地电脑或互联网云中),在需要网络注册时只需点击鼠标调用即可。一旦这种模式得到广泛的采纳,OpenID就能让网络用户畅游各种网站,免受重复注册登录之累。
OpenID是布拉德-菲茨帕特里克(Brad Fitzpatrick)于2005年创始的,而它的开发工作则是由一群随性所至的编程师来完成。独立非营利性组织OpenID基金会是这一通用登录体系背后的主要推出力量。今年2月,国际商业机器公司(IBM)、谷歌公司(Google,下称谷歌)、微软公司(Microsoft,下称微软)、威瑞信公司(VeriSign,下称威瑞信)及雅虎公司(Yahoo,下称雅虎)都加入了该基金会的董事会。
现阶段OpenID面临的问题是,MySpace以及其他支持这一体系的技术巨头只提供OpenID功能,但并不真正接受它。换句话说,在协议之下你可以用MySpace的帐号在其他网站上登录,但MySpace却不支持其他提供商的OpenID帐号在自己网站上登录。
“这就像条单行道,”伯顿集团(Burton Group)的副总裁兼身份管理研究总监鲍勃-布雷克里(Bob Blakley)说,“这意味着他们愿意看到创建OpenID为别人带来的风险,但如果这份风险降临到自己头上就不愿意接受了。”
一处注册,处处通用
OpenID的运作原理是将某一现有URL(如http://rmartin.myopenid.com)与一组标示符相关联,以便其他网站能够进行分辨和识别,进而获得其信任。你只需将URL输入OpenID的登录框中,就再不必填写国家省份、电话号码以及父母姓名等繁琐的注册和验证信息了。
以灾荒救济组织国际乐施会(Oxfam International)的网站为例。这是接受OpenID的1.5万余家网站之一,在其首页上有一个“用OpenID登录”的方框,你只要输入自己的OpenID URL,网站服务器就会自动访问这一URL,并从链接标签中获取OpenID提供商的地址。
利用Diffie-Hellman密钥安全交换协议,两家网站的服务器会建立一个共享的秘密协议,在不通过互联网交换的情况就能验证你的OpenID。你会被重新转到OpenID提供商的网站上(如MyOpenID.com),然后在那里进行身份验证——一般只需填写密码即可。OpenID提供商会把登录所需的所有个人信息都转交给乐施会网站。
潜在风险
对于电子商务网站而言,ID的分配和转移是个尤为棘手的问题。它们想让用户能轻松登录网站,但又不愿承担单点式通用登录所带来的风险。目前的情况是,接受OpenID就像是养了一条大丹狗一样,一方面你很乐意自己家里有这么一条狗看家护院,但另一方面却很反感它招来一大群同类吵得家里不得安宁。
OpenID的风险可分为两大类:由用户承担的风险,以及由接受OpenID登录的网站(即所谓的“依赖方”)所承担的风险。对于用户而言,其中的风险显而易见:由于大部分用户要转到OpenID提供商的网站进行密码验证,因此系统很容易受到钓鱼软件的攻击。
微软的身份与访问首席架构师吉姆-卡梅隆(Kim Cameron)在自己的博客IdentityBlog上这样写道:“OpenID提供了很大的便利,但与其他所有单点式登录技术一样,面临着相同的潜在风险。这种模式越受欢迎,钓鱼软件的可乘之机也就越大。”
对于提供商而言,没有任何人能担保用户的身份信息是真实无误的。“OpenID提供商在为用户开设帐户之前,通常不会对其背景进行调查,也不会要求其提供能证明个人身份的细节信息。”伯顿集团的布雷克里表示,“鉴于这种原因,大多数OpenID的身份可信度都非常低。”
这种与生俱来的特点,意味着OpenID很难被用于银行转账等高价值的交易当中。“OpenID如果不提高安全系数,那在市场上就无法与信息卡等更加可靠的解决方案争长较短。”信息卡提供商、OpenID基金会董事局成员奇偶通讯公司(Parity Communications)的基础设施副总裁德拉姆蒙德-里德(Drummond Reed)表示。
开放的标准
从设计上来说,OpenID本就不是一个高度安全可靠的体系。它只是方便网站在识别用户时,将同一URL源的信息进行共享的一种开放标准而已。它天生就不具备安全和认证的功能特点,正如OpenID基金会董事长斯科特-克维登(Scott Kveton)所说:“OpenID的验证方式实际上与安全协议完全无关。在这种情况下,究竟为OpenID采用何种程度的安全保护措施,全由你自己决定。”
大多数用户在选择安全验证时,总是挑最简单的。这样一来,他们的OpenID登录点就会是注册时随手选择的一家网站。也就是说,如果你是在陶瓷工房(Pottery Barn)或是亚马逊(Amazon)的网站上创建OpenID帐户,那么该网站就会成为你的提供商。你的个人信息会储存在提供商那里,并且你今后在网上的任何活动都会与之捆绑在一起。正因为此,提高OpenID的安全系数才会显得如此重要。
一些安全厂商推出了相关的认证工具,如威瑞信的VIP,JanRain公司的CallVerifID以及Vidoop的ImageShield等,它们都能与OpenID配套使用,并提供密码之外的用户认证方式。比如,威瑞信使用的就是“双因素认证”,包括你知道的内容因素(如密码等),以及你拥有的物品因素(如信息卡、安全令牌、手机等)。
微软在1999年投放市场的Passport可迁移性ID产品无果而终,如今该公司又推出了名为CardSpace的“视觉信息卡”技术,用于支持OpenID。CardSpace让用户使用一套已储存的身份来进行登录,这套身份在用户界面中以“数码卡”的形式来表示。用户可以选择想用的信息卡身份,然后将其递交给想要访问的网站。之后,CardSpace软件会提供一个包含必要登录信息的XML令牌。
当在OpenID 提供商的网站上进行验证时,CardSpace可代替密码的作用,它会向网站发送一个用暗号写成的“验证语”,这样就能防止钓鱼或木马软件的攻击。要想让单点式通用登录成为现实,“我们认为就得让OpenID与CardSpace联姻,如此一来用户的安全隐私才能获得保障。”微软的身份与访问总监J.G.齐拉普拉斯(J.G. Chirapurath)表示。
信任问题
和很多事情一样,说到底,最终的问题还是“你究竟信任谁?”由于OpenID是一个开放的标准,因此便没有一个监管机构来约束每个人都按规则办事。这里唯一的规则就是:OpenID有风险,使用需谨慎。
“现在的问题是,针对市场上的众多应用程序,在基础的身份技术之上应当有一层管理机制。”微软的卡梅隆说,“如果某个环节出了岔子怎么办?那些提供商的可靠性和服务质量有无保证?如果信息泄露了,那该追究谁的责任?”正是这一系列问题,阻碍了OpenID在电子商务世界中的推行。
建立这样的管理和问责机制需要花费时间,但这种事情不是投入了精力和时间就一定能够成功的。目前,为了实现通用登录这个完美的理想,起码有半打机制正在研发当中。其中一些是针对合作网站之间安全交换信息认证和授权而开发的框架或协议,如安全性断言标记语言(Security Assertion Markup Language,下称SAML),而另一些则是横跨网站、应用程序和设备而搭建的,将身份、简介以及关系信息融为一体的构架,如希金斯计划(Higgins Project)。微软当下正在大力推进自己的CardSpace。而与OpenID基金会类似,致力于行业标准的组织自由联盟(Liberty Alliance)也在试图创建一个解决网络ID问题的整体化途径。
自由身份咨询师卡利亚-汉姆林(Kaliya Hamlin)是互联网身份讨论会(Internet Identity Workshops)的组织者,同时他还负责维护一个主要的在线身份社区中心。他认为,总有一天所有的这些框架都会被组合到一块儿。不过,就目前而言,它们之间还缺乏关联的组件和设计,在外行人看来这就像是一幅杂乱无章的拼图一样。
希望之星
尽管还存在一些缺陷,但OpenID仍是最有希望获得业界广泛接受的协议。然而,眼下OpenID还不具备足够的魅力来吸引大型企业敞开怀抱接纳自己。
OpenID基金会董事长克维登表示,采用OpenID的网站数量正以每周5%的速度递增。这当然是一个很惊人的数字,但只有当亚马逊、美国在线(AOL)、微软、雅虎以及其他网络霸主们接纳了OpenID,以用户为中心的ID运动才会真正迎来春天。到目前为止,还没有哪家金融机构宣布使用OpenID。正如惠普公司(Hewlett-Packard)的身份管理服务主管皮特-默特鲁拉斯(Pete Metrulas)所说,这项运动目前缺乏的,是“一场有关OpenID能为大型企业带来何种价值的讨论”。
这么说起来,OpenID仿佛很难有大的作为,但现在就下定论还为时尚早。不管怎么说,以用户为中心的ID运动是有各大互联网厂商做后盾的,光这一点就足以为其提供动力保证。随着OpenID的个人用户数量不断增加,采用它的网站也会越来越多。
当然,在OpenID或其他通用ID协议背后,最有价值的动力实际上就是用户自身的个人信息。在这个以消费者为导向的Web 2.0时代,个人信息的价值毋庸多言。为了搜罗这些信息,各大网站都用过高级访问权、优质服务和会员折扣这些手段来诱使用户注册。通用登录在这方面展现出的好处,精明的网站是不会视而不见的。
用默特鲁拉斯的话来讲,在OpenID帮助下,网站可以存储、共享和管理“更深层次的用户数据”,并将它们转化为商业价值。这样的一个未来让许多公司眼馋不已。通过集中储存信息财富,并给予用户进入“库房”添加财富的钥匙,我们不难想象这将会是多么庞大的一个潜在市场。
只有兴旺发展的市场,才能带动OpenID的推广和用户中心ID运动的壮大。电子前沿基金会(Electronic Frontier Foundation)的董事长布拉德·滕布里顿(Brad Templeton)认为,目前那些框架计划的问题在于,它们都没有考虑到市场的力量,因为“用户个人是没有资本和网站讨价还价的。”
OpenID现在只是一把开不了多少锁的钥匙。用户们需要的是一个能将他们的个人信息物尽其用的交换体系。“只有用户和网站双方进行协商才能解决问题。”滕布里顿说。消费者可指派一个自己信得过的机构作为代理人,它们可以是OpenID提供商,如你的母校或MyOpenID。“无论如何,用户必须找到一些在谈判桌上可以利用到的筹码。”如若不然,你就只有乖乖地按照网站的规则去注册,交出自己宝贵的个人信息。这样的一个互联网世界,恐怕不是我们所能长期忍受的。 用户们希望拥有一个可以访问所有网站的通用ID,但其中蕴藏的风险让许多网站踌躇不前。OpenID也许是目前最有可能实现这一梦想的希望之星了。
今年7月,当社交网络巨头MySpace宣布采用OpenID的消息传出后,这个通用登录体系的支持者立即为之欢呼雀跃。
OpenID基金会(OpenID Foundation)的执行董事比尔-沃什本(Bill Washburn)表示,随着MySpace的加入,OpenID支持的用户数量现已超过5亿。“显然,OpenID的发展势头才刚刚启动而已。”他说。
OpenID是“以用户为中心的ID变革运动”带来的最直观的高度演变成果之一。这一运动倡导的是建立一个由用户控制的通用型在线个人身份管理机制,将个人身份预存在一个安全的地方(如用户本地电脑或互联网云中),在需要网络注册时只需点击鼠标调用即可。一旦这种模式得到广泛的采纳,OpenID就能让网络用户畅游各种网站,免受重复注册登录之累。
OpenID是布拉德-菲茨帕特里克(Brad Fitzpatrick)于2005年创始的,而它的开发工作则是由一群随性所至的编程师来完成。独立非营利性组织OpenID基金会是这一通用登录体系背后的主要推出力量。今年2月,国际商业机器公司(IBM)、谷歌公司(Google,下称谷歌)、微软公司(Microsoft,下称微软)、威瑞信公司(VeriSign,下称威瑞信)及雅虎公司(Yahoo,下称雅虎)都加入了该基金会的董事会。
现阶段OpenID面临的问题是,MySpace以及其他支持这一体系的技术巨头只提供OpenID功能,但并不真正接受它。换句话说,在协议之下你可以用MySpace的帐号在其他网站上登录,但MySpace却不支持其他提供商的OpenID帐号在自己网站上登录。
“这就像条单行道,”伯顿集团(Burton Group)的副总裁兼身份管理研究总监鲍勃-布雷克里(Bob Blakley)说,“这意味着他们愿意看到创建OpenID为别人带来的风险,但如果这份风险降临到自己头上就不愿意接受了。”
一处注册,处处通用
OpenID的运作原理是将某一现有URL(如http://rmartin.myopenid.com)与一组标示符相关联,以便其他网站能够进行分辨和识别,进而获得其信任。你只需将URL输入OpenID的登录框中,就再不必填写国家省份、电话号码以及父母姓名等繁琐的注册和验证信息了。
以灾荒救济组织国际乐施会(Oxfam International)的网站为例。这是接受OpenID的1.5万余家网站之一,在其首页上有一个“用OpenID登录”的方框,你只要输入自己的OpenID URL,网站服务器就会自动访问这一URL,并从链接标签中获取OpenID提供商的地址。
利用Diffie-Hellman密钥安全交换协议,两家网站的服务器会建立一个共享的秘密协议,在不通过互联网交换的情况就能验证你的OpenID。你会被重新转到OpenID提供商的网站上(如MyOpenID.com),然后在那里进行身份验证——一般只需填写密码即可。OpenID提供商会把登录所需的所有个人信息都转交给乐施会网站。
潜在风险
对于电子商务网站而言,ID的分配和转移是个尤为棘手的问题。它们想让用户能轻松登录网站,但又不愿承担单点式通用登录所带来的风险。目前的情况是,接受OpenID就像是养了一条大丹狗一样,一方面你很乐意自己家里有这么一条狗看家护院,但另一方面却很反感它招来一大群同类吵得家里不得安宁。
OpenID的风险可分为两大类:由用户承担的风险,以及由接受OpenID登录的网站(即所谓的“依赖方”)所承担的风险。对于用户而言,其中的风险显而易见:由于大部分用户要转到OpenID提供商的网站进行密码验证,因此系统很容易受到钓鱼软件的攻击。
微软的身份与访问首席架构师吉姆-卡梅隆(Kim Cameron)在自己的博客IdentityBlog上这样写道:“OpenID提供了很大的便利,但与其他所有单点式登录技术一样,面临着相同的潜在风险。这种模式越受欢迎,钓鱼软件的可乘之机也就越大。”
对于提供商而言,没有任何人能担保用户的身份信息是真实无误的。“OpenID提供商在为用户开设帐户之前,通常不会对其背景进行调查,也不会要求其提供能证明个人身份的细节信息。”伯顿集团的布雷克里表示,“鉴于这种原因,大多数OpenID的身份可信度都非常低。”
这种与生俱来的特点,意味着OpenID很难被用于银行转账等高价值的交易当中。“OpenID如果不提高安全系数,那在市场上就无法与信息卡等更加可靠的解决方案争长较短。”信息卡提供商、OpenID基金会董事局成员奇偶通讯公司(Parity Communications)的基础