En betjänt nyckel för din identitet

I takt med att onlinetjänster som använder personuppgifter förökar sig, blir det vanligare att användare behöver skicka data från en tjänst till en annan. Detta kräver ofta att användarna lämnar över användarnamn och lösenord, trots de uppenbara säkerhetsriskerna. Ett nytt projekt med öppen källkod kallas OAuth , som släpptes tidigare denna månad, är avsedd att lösa detta problem genom att tillåta användare att ge tjänsterna en betjänad nyckel till sina identiteter, snarare än full åtkomst.





Tokenåtkomst: Webbtjänster kan använda OAuth för att dela känslig data utan att tvinga en användare att ge full åtkomst till sin identitet. Diagrammet ovan kartlägger flödet av förfrågningar när tjänsterna ber om data och behörighet från varandra.

Chris Messina , som hjälpte till att organisera produktionen av OAuth, säger att systemet kommer att ge människor kontroll över hur de förmedlar sin data via webbtjänster och även hjälpa dem att bli lite säkrare. Systemet tillåter en användare att erhålla en token genom en plats och skicka den till en annan. Token dikterar sedan vad den andra platsen kan komma åt och på vilket sätt. För att uppnå detta måste protokollet definiera standardsätt för webbplatser att identifiera data och specificera vad de ska göra med det. För att fungera kräver OAuth att båda platserna har implementerat protokollet. Användaren behöver inte vara medveten om det.

Tillsammans med Messina, Blaine Cook från Twitter och Larry Halff av Magnolia arbetat för att starta projektet.



Att lämna över användarnamn och lösenord är ett allt vanligare inslag på sociala nätverkssajter, inklusive välkända sajter som t.ex. Facebook och LinkedIn . I den inledande registreringsfasen ber en webbplats användaren att ange autentiseringsuppgifterna för hennes e-postkonton så att den kan söka efter personer hon kanske känner. Det är också typiskt för webbplatser att ge användare en möjlighet att bjuda in sina befintliga kontakter att gå med i nätverket också. Men Messina säger att det finns ett annat, oavsiktligt resultat av praktiken: Det är att träna användaren att förmedla användarnamn och lösenord som konfetti, säger han.

Multimedia

  • Se hur OAuth fungerar.

De var Hammer-Lahav , som fungerade som redaktör för den grundläggande OAuth-specifikationen, säger att en varnande berättelse kom tidigare i år när en webbplats för sociala nätverk kallade Quechup använde sin åtkomst till e-postkonton genom den här funktionen för att skicka inbjudningar till varje enskild person i en ny användares kontaktlista. Ännu värre, för många människor verkade e-postmeddelandena komma från användaren snarare än från företaget. Hammer-Lahav säger att varningen riktar sig mindre till en viss plats än mot ett system som behöver förbättras. Kärnan handlar egentligen om det vi kallar kärlekstriangeln, säger han. Kärlekstriangeln, förklarar han, är relationen mellan användaren och de två webbtjänster som behöver dela data.

Han tillägger att det nu börjar bli vanligt med ekonomihanteringssajter som t.ex Som att be om lösenord för att samla information för användare. Förutom att det utgör en säkerhetsrisk, säger Hammer-Lahav, är det faktiskt inte det bästa sättet för webbplatser att dela information. Samlarwebbplatserna måste ofta skrapa bort finansiell information från banksidor genom att träna sin programvara för att söka vissa ledtrådar i sidkällan som signalerar viktiga data. Problemet, säger han, är att om banken gör om utseendet på en sida kan dessa ledtrådar förändras, vilket gör att aggregatorn inte kan läsa informationen. Ett system som OAuth, säger Hammer-Lahav, tillåter webbplatserna att dela information direkt.



Tanken med den här typen av system är inte ny, säger man Terrell Russell , medgrundare av online-identitetshanteringssystemet Anspråks-ID . Google , till exempel, har ett befintligt proprietärt protokoll som har möjligheter som liknar OAuths. Men, säger Russell, avsaknaden av en enda standard hämmar utvecklare och uppmuntrar dem att fråga efter användarnamn och lösenord. Russell säger att lösa problemet med att tillåta webbtjänster att säkert dela data bara kommer att bli viktigare när mer data migrerar till webben.

OAuth implementeras av Twitter och Mag.gnolia, och delar av standarden visas i Googles OpenSocial plattform. Även om den initiala utgåvan är ett kärnprotokoll som innehåller grunderna för utbyte av tokens mellan webbplatser, säger Hammer-Lahav att senare utgåvor kommer att ge användarna bättre kontroll över hur de ger åtkomst till sina data.

Dölj