Questa situazione ha fatto nascere l'idea di un sistema di identificazione aperto ed affidabile per tutti gli utenti Internet. Un primo tentativo è stato fatto da Microsoft nel 2001, con il nome di
Passport: si trattava di un sistema per gestire l'autenticazione su più siti, avvalendosi di un protocollo comune. Applicazioni di questo tipo vengono dette SSO (Single Sign On), perché l'autenticazione viene eseguita una sola volta ed è poi valida su tutti i siti che utilizzano lo stesso sistema. La proposta rispondeva ad una necessità effettiva degli utenti ed il sistema era estremamente avanzato dal punto di vista tecnico, ma alcuni mesi fa, dopo quasi cinque anni di agonia, la casa di Redmond
ha annunciato la fine dell'esperienza.
Quali sono le ragioni di questo fallimento? La risposta a questo problema, molto sentito dagli utenti, non può venire che sotto forma di
un sistema aperto e totalmente affidabile. Passport, pur essendo per tanti motivi un sistema valido, prevedeva la gestione esclusiva da parte di una sola società del protocollo e di tutta l'infrastruttura di autenticazione: ovviamente questo non è tollerabile, ed è all'origine del fallimento dell'iniziativa.
Prima di ripartire dopo l'esperienza di Passport ed incorrere in giustificate obiezioni, bisogna specificare che
il tentativo di introdurre queste tecnologie deve avere come unico obiettivo la protezione di tutti i soggetti, includendo sotto questo nome sia gli utilizzatori che il fornitore di servizi. L'utente deve essere portato al centro e messo nella condizione di
controllare totalmente la propria identità in ogni transazione cui prende parte; la necessità di questo layer aggiuntivo è innegabile, per evitare in futuro l'ingigantirsi di problemi già presenti, sotto forma di
phishing ed
identity theft, tanto per fare un esempio.
Proprio in questo momento di definizione delle tecnologie che saranno usate è importante che tutte le parti coinvolte partecipino attivamente, per assicurare il rispetto dei diritti di ognuno. Solo così si potrà scongiurare un utilizzo differente di queste tecnologie, ad esempio per controllare meglio chi usa la Rete.
Uno dei soggetti più importanti impegnati nella battaglia per la definizione di standard di gestione dell'identità è, come prevedibile,
Microsoft, che in
Windows Vista dovrebbe integrare la tecnologia
Infocard; Kirk Cameron, il responsabile della casa di Redmond per questo settore, ha enunciato
sette leggi divenute oramai famose, nelle quali sono contenuti i principi sulla base dei quali procedere alla definizione degli standard. Il cuore delle sette leggi risiede nel dare il pieno controllo all'utente sulle proprie informazioni, garantendone al contempo la minima diffusione.
Creando infatti un protocollo aperto ed affidabile, la necessità di diffondere i nostri dati diminuirà, ma sarà lo stesso sistema a garantire la nostra affidabilità ai soggetti con cui veniamo in contatto.
Ma quali sono i principi che determineranno il funzionamento di queste tecnologie? Quasi tutti i protocolli finora proposti prevedono l'utilizzo di un
URL univoco per identificare gli utenti, fornito dal servizio di identificazione cui si è iscritti, che risulterà quindi del tipo www.identitymanager.com/username.
I siti che si avvarranno di questa tecnologia riconosceranno il gestore di identità sulla base della prima parte dell'URL (ovvero il dominio del fornitore del servizio di gestione dell'identità) e si appoggeranno ad esso per autenticare l'utente. Naturalmente è previsto che i soggetti che forniscono i servizi di autenticazione siano più di uno, assicurando comunque la piena interoperabilità dei protocolli.
In pratica una volta autenticati sul proprio identity provider, sarà sufficiente inserire il proprio URL in qualsiasi sito per essere rediretti al proprio identity manager e quindi riconosciuti. Dietro le quinte un sistema di
redirect e
cookie garantirà il funzionamento del protocollo.
Tra le varie tecnologie che sono state proposte e che si contendono la leadership, le più interessanti sono probabilmente
Sxip e
Lid. Il primo protocollo è stato creato dall'omonima società e si contraddistingue per essere estremamente potente e versatile, ma è affetto da una grave mancanza di interoperabilità con i concorrenti. Al contrario Lid, sviluppato da Netmesh, è un protocollo più semplice (lo dice il nome stesso, Lightweight IDentity), ma si è fatto promotore di Yadis, un tentativo di avvicinare, tramite uno strato uniforme di interoperabilità, i vari protocolli. Recentemente Sxip ha intrapreso il processo di standardizzazione presso IETF del proprio protocollo.
Un altro approccio interessante, e che promette di dare un miglior feeling all'utente è quello di pass.net, che prevede di
utilizzare gli indirizzi esistenti di posta elettronica come URL di identificazione. I vantaggi per gli utenti in questo tipo di soluzione sono evidenti, mentre è richiesta una complicazione a livello dei protocolli necessari al funzionamento del procedimento di autenticazione. inoltre probabilmente non tutti i fornitori di indirizzi e-mail supporteranno il protocollo, impedendone l'uso ad alcuni utenti.
Indipendentemente da quella che sarà la proposta che avrà la meglio e sarà quindi alla base dei sistemi che fra pochi mesi potremo cominciare ad usare, possiamo già ipotizzare con una certa sicurezza che i protocolli per la gestione dell'identità giocheranno
un ruolo prioritario nella Internet del futuro, difendendo i diritti di tutti i soggetti, siano questi utenti finali oppure fornitori di servizi.
Lorenzo Viscanti
http://www.noosfactory.com/blog