Met de aankondiging van Yahoo dat zij binnenkort ook OpenID gaat ondersteunen, krijgt het initiatief ineens een enorme steun in de rug. Maar wat is OpenID nu eigenlijk?
Op sites waar je persoonlijke gegevens van belang zijn, heb je vrijwel altijd een registratieproces. Naast je username en password moet je meestal ook nog wat andere persoonlijke gegevens meegeven, zoals een adres of een telefoonnummer. Als je vervolgens terugkomt op de site, dien je je met het username en password te authenticeren.
Iedereen herkent wel een aantal van de hierbij optredende problemen/ongemakken:
- Je moet voor iedere site weer dezelfde stappen doorlopen: username en password kiezen (vaak kies je voor de eenvoud bij iedere site dezelfde combinatie), en vervolgens dezelfde persoonlijke gegevens invoeren;
- Een registratie wordt vaak gevolgd door een bevestigingsmail, die in veel gevallen in je spam-box terechtkomt. Dit leidt tot verwarring, vragen aan de helpdesk, etc.;
- Je mag alleen maar hopen dat de site waar je je geregistreerd hebt, zorgvuldig omgaat met je (geheime) gegevens. Voortdurend lees je berichten dat hackers erin geslaagd zijn om persoonlijke gegevens of wachtwoorden te achterhalen;
- Op sommige sites moeten je username of password aan bepaalde eisen voldoen (of je username is al door iemand anders geclaimd), waardoor je voor die specifieke site toch weer een aparte username/password-combinatie moet onthouden;
- Als je persoonlijke gegevens wijzigen, bijvoorbeeld doordat je verhuist, moet je op al die sites die gegevens één voor één gaan wijzigen.
Onhandig dus. OpenID heeft de belofte om aan deze ongemakken een eind te maken. Hoe werkt het?
Je maakt op één centrale plaats je eigen identiteit aan. Deze identiteit bestaat uit een emailadres en een password, en eventueel andere persoonlijke gegevens. Deze centrale plaats wordt aangeboden door een Open Identity Provider (bijvoorbeeld MyOpenID.com). Zo’n OpenID Provider heeft aangetoond dat ze zorgvuldig met jouw gegevens omgaan, dus je gegevens zijn daar in veilige handen. Vergelijk het met een bank waar je je spaargeld aan toevertrouwt. Nadat je je geregistreerd hebt bij een OpenID Provider, krijg je een unieke ID toegewezen (een soort bankrekeningnummer), Dit ID is in de vorm van een URL. Mijn eigen unieke ID is bijvoorbeeld http://tondejong.myopenid.com.
Je kunt dit ID gaan gebruiken op een site die OpenID ondersteunt (bijvoorbeeld Plaxo). Je registreert daar niet met je username/password, maar met je ID. De site vraagt vervolgens aan je OpenID Provider of jij daadwerkelijk bent wie je zegt dat je bent. Concreet houdt dit in dat je wordt geredirect naar een pagina van de OpenID Provider, waar je je password moet opgeven waarmee je bij de OpenID Provider geregistreerd bent. Vergelijk het met online bankieren, waar je rekeningnummer wordt gebruikt om je te identificeren, en je nog een code moet invoeren om je te authenticeren (aantonen dat je daadwerkelijk bent wie je zegt dat je bent).
Omdat je bij je OpenID Provider al persoonlijke gegevens had achtergelaten, kun je de website waar je aan het registreren bent toestemming geven om die persoonlijke gegevens over te nemen. In principe hoef je vervolgens in de toekomst alleen bij je OpenID provider gegevens te wijzigen, en nemen de websites die gebruik maken van OpenID deze gegevens over in hun eigen systeem.
Na het registreren wordt er een cookie op je computer gezet die vastlegt dat je op die computer met je ID direct (dus zonder nog een keer je password in te hoeven voeren) in kunt loggen op de website waar je net geregistreerd bent. Vergelijk het met de ‘remember my password’ optie die browsers en veel websites al bieden.
Kortom: één centrale plek om je persoonlijke gegevens vast te leggen, en hiermee veel meer controle over je eigen online identiteit. Yahoo heeft, met de aankondiging dat ze zelf een OpenID Provider gaan zijn, een briljante zet gedaan. In één keer beschikken 250 miljoen mensen over een eigen ID, én is Yahoo de centrale bron geworden om de persoonlijke gegevens vast te leggen. Ik zou persoonlijk kiezen voor een provider die wat minder commerciële belangen heeft bij jouw identiteit, maar de keuze is uiteraard aan de consument. Het proberen waard: OpenID!