BedreID: Massiv opbakning til ny standard for identitetshåndtering på internettet
Idag oprandt endelig dagen, hvor verden officielt får en ny standard for identitetshåndtering på internettet. Lanceringen skete parallelt på GSM World Congress i Barcelona og på RSA Conference i San Francisco.
Den officielle pressemeddelelse kan ses mange steder, bl.a. på bloomberg.com. Selve standarden kan ses på OpenID.net.
Det har taget 6 år og en masse erfaringer at komme videre fra OpenID2 til OpenID Connect, som den ny standard hedder. Parallelt hermed er behovet for sikker online identitetshåndtering mangedoblet, så den ny standard kommer ikke et øjeblik for tidligt. Derfor er det også lykkedes på forhånd at skabe langt bredere og stærkere support for den ny løsning end der har været for nogen af forgængerne.
Udviklingen har længe været drevet af større udbydere af emailtjenester, som f.eks. Google og Microsoft, men for nylig er der sikret opbakning fra GSM Association, der tæller ca. 800 teleoperatører. Specielt Deutsche Telekom samt de britiske teleoperatører har været aktive i denne proces. Der har desuden været et stærkt engagement fra Japan, hvor OpenID bevægelsen er mere organiseret end noget andet sted og hvor der stilles lignende krav til privatlivsbeskyttelse som i Europa.
OpenID Connect er en protokol til granulær udveksling af identitetsrelaterede attributter og som sådan ikke et alternativ til NemID som autentifikationsmekanisme. Den er derimod en mere lettilgængelig og fleksibel pendent til SAML2 protokollen, som bl.a. benyttes i det offentliges Nemlog-In, men som pga sin kompleksitet ikke har vundet indpas på kommercielle hjemmesider.
Derfor vil OpenID Connect med fordel kunne anvendes sammen med både NemID og diverse andre én-, to- eller multifaktor autentifikationsmekanismer for at øge både sikkerhed og privatlivsbeskyttelse. Samt ikke mindst for at skabe grundlag for interoperabilitet mellem forskellige løsninger - og dermed konkurrence mellem disse - både på lokalt og internationalt plan.
Flere analyser af OpenID Connect vil følge på denne blog samt mere udførligt på BedreID.dk. Der mangler stadig færdiggørelse af optionelle dele af standarden, f.eks. session management (håndtering af bl.a. Single-logout), udarbejdelse af profiler for forskellige typer anvendelser m.m. Så alle med holdninger til problematikkerne omkring identitetshåndtering kan stadig nå at bidrage på flere fronter - og det er i øvrigt helt gratis at deltage i arbejdet.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
