(BARCELONA) Flere nettjenester, som debatt i digi.no, tillater i dag autentisering gjennom Facebook.
– Siden 40 prosent av alle internettbrukere har en Facebook-konto, er det ikke unaturlig at bedrifter lar sine kunder legitimere seg gjennom denne tjenesten. Det stiller spørsmålet om hvorvidt sosiale medier en gang i framtiden kan bli nettets hovedleverandør av ID-tjenester, sier Gartner-analytiker Ant Allan på selskapet store samling Symposium ITxpo.
Veksten av nettskytjenester understreker behovet for enklere påloggingsmetoder enn den myriaden av brukernavn og passord som mange i dag må hanskes med daglig.
– Det typiske i dag er at hver programvaretjeneste (SaaS, software as a service) krever eget brukernavn og passord. Bedrifter kan legge opp løsninger slik at deres brukere får tilgang til utvalgte nettskytjenester gjennom «single sign on». Det løser ikke hele problemet.
Ideelt kunne man tenke seg «IDaaS», altså «ID as a service» som egen tjeneste gjennom nettskyen. Det må i så fall bygge på standarden SAML 2.0.
– XML-baserte SAML ble dannet med tanke på organisasjoner som gjensidig tillit til hverandre. SAML 2.0 er i dag den mest utbredte standarden for ID-føderasjon mellom bedrifter, og vi tror det vil være tilfellet ut 2014.
Problemet med SAML, ifølge Allan, er at standarden er vanskelig å tillempe når man skal føderere identiteter i større skala. Få nettskyleverandører støtter SAML i dag. Allan tror tendensen går i retning to protokoller kjent som O-protokollene, henholdsvis OpenID og OAuth. Det er disse protokollene dagens ID-tjenester fra blant annet Facebook og Google bygger på.
– I dag er verken OpenID eller OAuth velegnet for bedriftsløsninger, heller ikke i de nye utgavene OpenID 2.0 med attributtutveksling, og OAuth 2.0. Men OpenID-stiftelsen arbeider nå med en spesifikasjon for «OpenID Connect». Det er en sammenslåing av OpenID og OAuth, og befinner seg i dag som «implementers draft».
Et alternativ er en kombinasjon av SAML og OAuth, som Allan har sett eksempler på innen mobile scenarier.
– Fordelen med å la en kunde registrere seg og siden legitimere seg med en profil hun eller han allerede har, for eksempel Facebook, er først og fremst forenkling. For tjenesten betyr lettere registrering og legitimering at man får tak i, og beholder, flere kunder, og slipper bryderiet med å administrere brukernavn og passord.
Denne gjensidige fordelen ligger under Allans spådom: Innen utgangen av 2015 til 50 prosent av alle nye kunde-ID-er innen e-handel håndteres gjennom Facebook. Andelen i dag er 5 prosent.
Hva er motargumentene?
– Det viktigste motargumentet er knyttet til Facebooks egen håndtering av brukere. Hva slags bevis er det for at Facebook-profilen «person X» faktisk tilhører person X? Facebook-profiler har vært kapret. Dette må nødvendigvis endre seg.
Et annet motargument er at det juridiske ansvaret man påtar seg når man garanterer at en person er den han eller hun gir seg ut for å være. Så lenge dette ikke er avklart, kan det drøye før sosiale medier godtas som ID-leverandører.
Allans neste spådom: Innen utgangen av 2015 vil 20 prosent av alle identiteter til nye bedriftskunder og -partnere bygge på ID-tjenester forvaltet av sosiale medier.
Hovedpoenget her er at slike løsninger gjør det mulig straks å godkjenne en ny identitet, uten behov for forutgående eksplisitt ID-føderasjon mellom to bedrifter.
Motargumentet er det samme som for forbrukere: Selv sosiale medier for profesjonelle har i dag svake autentisering. LinkedIn har for eksempel nylig at utfordringer. Igjen tror Allan at dette – nødvendigvis – vil bedres.
Så er det et siste spørsmål: Hva har sosiale medier å tjene på å tilby ID-tjenester?
– I dag er ikke ID-tjenester en del av deres forretningsmodell. Men ser de en mulighet til å tjene penger på ID, kan forretningsmodellen utvides. Den største utfordringen er det juridiske ansvaret. Dette ansvaret er en av grunnene til at svært få vil ta på seg å garantere for at folk er dem de gir seg ut for å være. Men jeg har faktisk snakket med dem som har uttrykt interesse for å bli ID-tilbydere.
Utviklingen peker ikke bare mot bedre teknologiske metoder for autentisering.
– En fordel som sosiale tjenester har, er at de kan tilby en sjekk på at man er den man hevder å være, ved å undersøke hva kontaktene har å si om vedkommende. Det kan være langt enklere å forfalske en identitet enn en «vennekrets». Det er mye kontekstuell informasjon i sosiale nettverk som kan brukes til å sjekke en ID.