OpenID, una auntenticación para gobernarlos a todos

Últimamente están saliendo a la palestra muchos casos de robos de cuentas gracias a la ingeniería social, es decir, el engaño de toda la vida. Ni las plataformas más potentes se libran, porque, como se suele repetir en el mundo de la seguridad, ésta es tan fuerte como el más débil de sus eslabones: el usuario. Así que si alguien os vende un día la moto de la seguridad total, desconfiad de inmediato. Eso no es posible.

Una tecnología que lleva un tiempo interesándome para la autenticación es OpenID. A continuación veremos sus puntos fuertes y sus puntos débiles.
openid

¿Qué es OpenID?

Según la wikipedia es un sistema de identificación digital descentralizado, con el que un usuario puede identificarse en una página web a través de una URL o un XRI. Es decir, una forma de autenticarse en las páginas web sin necesidad de tener un usuario por cada una de esas plataformas. Algo así como mandar a todas las webs a un lugar central a pedir nuestras credenciales. Ese servidor central se denomina proveedor de identidad o IdP. ¿Os imagináis no tener que exprimiros más los sesos cada vez que tenéis que iniciar sesión en esa página de la que no recordáis ni el nombre de usuario ni la contraseña? Se acabó también usar la misma contraseña para todo (con el peligro que eso entraña). Basta con meter nuestra url de identificación para que se ponga en contacto con nuestro IdP. Incluso podremos decidir qué datos compartimos con esa página en concreto.

Para los que crean webs, también puede ser de gran ayuda porque ya no tienen que encargarse de la gestión de usuarios.

Pero cuidado, que no todo el campo es orégano. Esto también hace que tengamos un único pie de apoyo. Si logran hacerse con nuestra contraseña en el IdP, habremos comprometido toda nuestra identidad digital. Y hacer phising de esta cuenta puede llegar a ser realmente fácil. Por ejemplo, puedo crear una página «tarro de miel» (es decir, para atraer a los incautos) que necesite logueo con OpenID. Cuando lo haga el usuario, le redirigiré a una página falsa para que meta sus credenciales. Y es que el problema es que soy yo quien hace la redirección al IdP.

Además, estamos dando un inmenso poder a ese servidor central (que sabrá incluso por donde navegamos). La ventaja es que nosotros mismos podemos tener nuestro propio servidor y así no depender del manido cloud computing (es la ventaja que tienen los estándares web abiertos).

Más son los problemas que aún aquejan a este sistema, así que mi recomendación es que no se haga uso de él para cosas muy importantes 😉

¿Cómo hacemos que nuestro blog haga de IdP?

No es que haga de IdP tal como lo he explicado anteriormente, sino que sirve de intermediario (algo así como lo hace Feedburner con nuestros rss). Dado que es más difícil que cambiemos la dirección de nuestra página personal que la plataforma que nos da las credenciales, me parece la mejor solución.

Para que esto funcione, copiamos las siguientes líneas dentro de las etiquetas <head> (en este ejemplo se hace uso de el IdP openid.blogs.es, pero tendrás que buscar las líneas correspondientes al tuyo):

<link rel=»openid.server» href=»http://openid.blogs.es/index.php/serve» />
<link rel=»openid.delegate» href=»http://openid.blogs.es/NOMBREDEUSUARIO» />

Si en un momento dado cambiamos de IdP (o éste cierra la persiana), sólo tendremos que modificarlo en la cabecera de nuestro blog y no se irán al garete nuestras credenciales en otras plataformas. De esta forma independizamos la dirección que nos representa en línea del servicio IdP.

¿Cómo hacemos para que nuestros lectores puedan dejar comentarios con su cuenta OpenID?

Gracias a OpenID se podría acabar con las suplantaciones en los comentarios, puesto que es una forma clara de decir: ésta soy yo. Existen varios plugins para WordPress que permiten que los comentaristas se identifiquen mediante OpenID: OpenID Comments, OpenID for WordPress, WordPress Delegate Plugin, … Y como el camino se aprende andando y es mejor predicar con el ejemplo, yo he instalado OpenID, que permite que cualquiera deje un comentario sin necesidad de rellenar su nombre y dirección de correo. Además también se puede acceder al back-end de wordpress con esta identidad. Por cierto, si tenéis instalado WP Contact Form III, tendréis que hacer unos arreglitos para que convivan ambos.

Incluso a plataformas como Mediawiki se les puede instalar una extensión para que se use la autenticación vía OpenID.

Lugares donde puedes crearte una cuenta OpenID:

Si tienes tu blog alojado en blogger, LiveJournal, WordPress.com, …. , tu propia url ya te sirve de identificador.

¿Qué grandes plataformas permiten el uso de OpenID?

Technorati, Blogger, Zoomr, Bloguzz, Live Journal, Wikispaces, … y muchos más. Incluso hay sites en los que es la única manera de loguearse, como por ejemplo, Twitterfeed o blogs donde sólo se puede comentar así, como el de David de Ugarte.

Otros enlaces de interés:

Lorena Fernández Álvarez (@loretahur)

Ingeniera salsera. Actualmente, directora de comunicación digital de la Universidad de Deusto. Miembro del grupo experto de la Comisión Europea Gendered Innovations para analizar el impacto de no incorporar la perspectiva de género en la Inteligencia Artificial. Colabora en el programa de radio “Hoy por Hoy Bilbao” de la Cadena SER desde 2009 con una sección sobre nuevas tecnologías. Además, es jurado del premio Ada Byron a la mujer tecnóloga y mentora del proyecto Inspira STEAM, un proyecto que busca el fomento de la vocación científico-tecnológica entre las niñas. Ha creado junto a Pablo Garaizar e Iñigo Maestro el juego de mesa Nobel Run.

15 thoughts on “OpenID, una auntenticación para gobernarlos a todos

  1. Si tienes alguna duda, pregunta, pregunta, guapa, que enseguida te explicamos 😉
    Bueno, creo que tiene algo que ver con la identidad portátil. Todo un mundo de confusión. No te engañes. Sí, tú, tú, la chica del fondo, la de la bomba, no te escondas. Te tenemos identificada.

  2. @Julen: ayer no estabas tan crecidito mientras te lo explicaba… 😛

    @Yoriento: atrévete. Yo lo he instalado con 2.7 y quitando el problemita con WP Contact Form III, como la seda

  3. Volveré a probarlo, a ver.
    Hace ya mucho lo probé, pero me ralentizaba todo demasiado, así que lo quité y todo volvió a la normalidad.
    Pero el tuyo parece que va bien, así que voy a probarlo.

  4. Sorry but… prefiero ser un cascarrabias… Uf, ¿todos lo sitios donde me identifico accesibles desde uno solo? No, gracias 😉 Tampoco comento tanto como para que el tiempo empleado en rellenar los datos sea significativo. No me fío de las cosas centralizadas, Microsoft ya lo propuso en su día, y no me gustó. Lo proponen ahora Facebook y Google, y tampoco me gustan. Ya sé que OpenId es libre, y todo eso, pero… que no, jeje.

  5. @mak: creo que no lo has entendido. La gracia de OpenID es que es un protocolo abierto, así que cualquiera puede montar su propio servidor de autenticación y puedes además dejar tus credenciales donde quieras (como si usas 20 sitios a la vez). No es comparable ni con el passport de microsoft ni con el connect de facebook ni google. Ahí está la diferencia.

    Ya no es tanto por el ahorro de esfuerzo al introducir tus datos, sino que es una garantía para cerciorarme de que tú eres el que dices ser (a mí nadie me asegura que no ha venido Pepito Grillo a este blog y ha firmado tu comentario como si fueses tú).

  6. Bueno, pues ya lo tengo y parece que funciona bien.

    He hecho 2 cosas:
    – he instalado el plugin en mis blogs y
    – me he registrado en getopenid, porque me permite usar mi propia página web para identificarme como OpenID

    Por cierto, yo no guardo la contraseña y la escribo cada vez; no me ahorro trabajo con OpenID, pero me gusta la idea de dificultar que alguien suplante mi identidad.

  7. Con lo de ‘grandes plataformas’ y ‘Bloguzz’ en la misma frase… me ha caído la lagrimilla :’)

  8. @Fredy: creo que es más bien al revés. Para crearte una cuenta en Blogger necesitas necesariamente una cuenta de google. Luego, la dirección de tu blog actúa de identificador OpenID. En wordpress pasa otro tanto de lo mismo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *