segunda-feira, 25 de agosto de 2008

OpenID

Pagamos pela nossa preguiça...

Tudo bem que ela não é exclusividade humana. Também devemos admitir ser muito bom um momento dela. Porém, é desaconselhável comprometer outros aspectos da vida em sua troca.

O que há de comum entre Yahoo!, Google, Windows Live, CNN, Wikispaces, dentre outros? Deixando de lado estratégias conquistadoras dos mercados virtuais, todos aderiram ao OpenID.

Sistema de identificação, provido por uma rede distribuída na qual a identidade dos usuários corresponde a uma URL ou XRI. Qualquer servidor, a executar o protocolo, pode verificá-la.

A idéia é facilitar a vida das pessoas, com tantos serviços e senhas para lembrar. Com o serviço, precisaremos recordar, ou guardar, apenas uma informação de identidade.

Já conheço essa história de facilidade... Somos capazes de lembrar muitos números de telefone, datas comemorativas ou endereços mais complexos do que uma senha. Bastou ser uma senha, ou melhor, algumas, para começar a "chiadeira". Quem trabalha com sistemas sabe o quanto é comum um gerente delegar a posse de sua senha para uma secretária ou subordinado...

Depois, quando o desastre acontece, não há reclamação que baste. Haja vista o ocorrido nos últimos tempos com os tokens, distribuídos por grande parte dos bancos. O ambiente hostil do serviço bancário na Internet obrigou a maioria das instituições a adotar medidas rígidas de segurança, mas os clientes acham isso "incômodo".

Com o OpenID se cria mais um problema para os administradores de segurança. Basta descobrir uma única identidade para se ter acesso às informações, em todos os serviços que o usuário possui. A robustez do serviço está garantida agora, mas quanto tempo levará para se encontrar pequenas brechas? Aliás, nem precisamos disso... Quantos usuários sabe tratar adequadamente suas assinaturas digitais, quando as possuem?

Problema posto, momento de lembrar dos tempos de teoria da escola. Segurança em TI não é apenas identidade. Edifício fundando em três pilares são necessários identidade, autenticidade e integridade! Por esse motivo o sistema foi batizado de ID e os próprios autores desaconselham seu uso em comércio eletrônico e sistemas bancários.

Sempre é bom lembrar velhos conceitos... Neurose, ou não, os cuidados na terra digital sempre são imprescindíveis. Tenham certeza, mais do que o trabalho de atentar aos requisitos de segurança, reparar os estragos causados dará muito mais preguiiiiiiiiça.

Nenhum comentário: