Terwijl OpenID langzaam aan terein begint te winnen, doordat oa Microsoft ondersteuning hiervoor heeft aangekondigd en het in discussies over Identity2.0 steeds vaker naar voren komt, was het ook wel eens tijd om de site van OpenID.net te vernieuwen.

De nieuwe site is een stuk overzichtelijker en heeft duidelijke informatie over wat OpenID is, hoe ontwikkelaars er mee aan de slag kunnen, waar je het kunt gebruiken en waar je een OpenID account aan kunt vragen. Interessant om te zien is, dat al veel personen zonder dat ze het weten een OpenID account hebben. Zo heeft elke AOL klant (63 miljoen) en Livejournal gebruiker (ca 1 miljoen?) al automatisch een een OpenID account. Ook de eerdere aankondiging van Orange Frankrijk om al haar gebruikers een OpenID account te geven (wat vooral is ingegeven om een Single Sign On oplossing voor al de eigen diensten te kunnen leveren) zal een grote stapvoorwaarts betekenen voor de doorbraak van OpenID. Nu nog de lijst van diensten uitbreiden waar je in kunt loggen met je OpenID account.

Sjoerd Mesker heeft een mooie samenvatting gemaakt over de functionele kant van Identity 2.0, waarbij hij natuurlijk ook verwijst naar Dick Hardt. Een mooie aanvulling op de technische omschrijvingen over OpenID en Oauth die op dit blog regelmatig te vinden zijn.

OpenID is ontwikkeld om een oplossing te leveren voor Single Sign On voor eindgebruikers . Daarnaast zou het mooi zijn als er een vergelijkbaar initiatief zou zijn voor Open Authentication tussen applicaties.

Hiervoor zijn verschillende initiatieven opgestart door Google (AuthSub), AOL (OpenAuth), Yahoo (BBAuth), Flickr (FlickrAuth) en Facebook (FacebookAuth), maar uiteindelijk is het belangrijk dat er een standaard voor ontwikkeld wordt die door alle partijen wordt ondersteund. Op dit moment zijn de belangrijkste twee initiatieven hiervoor Oath en OAuth.

Terwijl Oath meer een top-down benadering volgt en wordt ondersteund door een groot aantal bedrijven, waardoor het een langdurig en uitgebreid project wordt, zet Oauth in op een licht-gewicht benadering waarin zo weinig mogelijk vastgelegd wordt.

Op dit moment is het erg moeilijk om aan te geven welke standaard het uiteindelijk gaat worden. Via Techcrunch kwam gisteren echter wel het bericht naar buiten dat Bloglines heeft gekozen om Oauth (en OpenID) te ondersteunen, wat het kamp vanOAuth (waarvan vorige week draft 2 van versie 1.0 gelanceerd is) extra ondersteuning geeft. Een uitgebreidere uitleg over OAuth is te vinden op het blog van Dare Obasanjo.

Vandaag is bekend geworden dat Orange Frankrijk, als de eerste grote telecomoperator OpenID ondersteunt. Hiermee zijn ze ook gelijk een van de eerste multinationals die de stap aandurft om openID te gebruiken. Vrijdag is Dick Hardt (OpenID evangelist) op Picnic op een Portable Social Network workshop. Ik ben benieuwd wat zijn reactie hierop is en of hiermee OpenID op het punt staat om breder door te breken.

Wat zijn nu de 10 belangrijkste ontwikkelingen op internet gebied de komende jaren? Dit is natuurlijk moeilijk te voorspellen, maar ReadWriteWeb probeert dit met een lijst van 10 toekomstige internet trends.

Er wordt niet echt een conclusie getrokken en eigenlijk zijn de “toekomstige” internet trends, trends die zich op dit moment al duidelijk aan het vormen zijn, maar ondanks dit blijft het een interessant lijstje.

1 van de trends die ik zelf nog wel mis is die van E-Government. Wij merken zelf regelmatig in projecten voor overheden dat hier een belangrijke kentering aan het plaatsvinden is en dat overheden zich hier niet alleen technisch, maar vooral ook organisatorisch aan het aanpassen zijn.

(more…)

Op het TheNextWeb congres afgelopen vrijdag sprak Dick Hardt over zijn stokpaardje: Identity2.0. Een inspirerende presentatie over de online ontwikkelingen op het web op het gebied van privacy en identity-management.

Bekijk zeker de presentatie als je het nog niet gezien hebt:

Joris Evers schrijft op Cnet over een systeem van het Canadese Bioscrypt dat de mogelijkheid biedt om  gezichtsherkenningsoftware te gebruiken als autorisatie systeem voor de toegang tot bepaalde ruimtes of het bedrijfsnetwerk. Hier wordt al langere tijd onderzoek naar gedaan, maar zij claimen de eerste te zijn die een kant en klaar product kan leveren die direct in te pluggen en te gebruiken is. Het mooie is dat het systeem ook als een normale webcam dienst kan doen. Een video met uitleg is ook beschikbaar via de site.

Op dit moment is het systeem, dat rond de $350 kost, alleen beschikbaar voor een selecte groep (grote) bedrijven, maar de bedoeling is dat het begin volgend jaar ook beschikbaar komt voor de consumenten markt. Eens uitzoeken of je hiermee ook de toegang tot sites kunt beveiligen (met een koppeling aan Flash Media Server bijvoorbeeld). Dan heb je geen OpenID inlogcode meer nodig…

De reputatie van OpenID is helaas nog niet zo goed dat er net zo veel vertrouwen in gesteld wordt als Digid of Verisign. Dat komt onder andere doordat OpenID phishing nog niet goed opgelost wordt, maar ook omdat iedereen een eigen OpenID service provider kan starten.

Een nieuw initiatief van Jayant Kumar Gandhi om een “wegwerp” OpenID account aan te maken, zal de reputatie verder geen goed doen.

De discussie die hierdoor ontstaat is echter wel interessant om te voeren. Welke waarde willen we geven aan OpenID accounts? Naar mijn mening zullen er verschillende type niveaus ontstaan waarmee websites toegang kunnen geven aan meer of minder gevoelige informatie. Zulke “wegwerp” OpenID accounts, of accounts die zijn aangemaakt bij providers die geen hoge kwaliteit kunnen garaderen zullen alleen de mogelijkheid krijgen om eenvoudige content te lezen en/of reacties op blogs te plaatsen, terwijl OpenID accounts die ondersteund worden door Verisign/Thawte of een andere organisatie die digitale certificaten uitgeeft meer privacy-gevoelige gegevens in kunnen zien.

Naar mijn weten is er nog geen organisatie die hier een goede oplossing voor heeft ontwikkeld. Wanneer iemand hier wel al iets over gehoord heeft, dan hoor ik dat graag.

Marco Slot, een student aan de VU, schrijft een interessant artikel over de Phishing-problemen van OpenID , waarbij hij een orginele invalshoek kiest: OpenID kan pas doorbreken wanneer we afstappen van password-authenticatie.

Hij geeft zelfs code voorbeelden op welke manier een Level 1 (Vervangen inlogpagina), Level 2 (login procedure vervangen) en een Level 3 (”standaard” inlogpagina opzetten) phishing actie uitgevoerd kan worden.

Voordat hij aangeeft op welke manier dit opgelost zou kunnen worden, geeft hij nog een aantal “non-solutions”, waarbij per oplossing aangegeven wordt waarom het niet zal werken. Hij verwijst hierbij o.a. naar een artikel van Simon Willison over OpenID phishing, waarbij nog meer mogelijkheden van phishing getoond worden.

Als oplossing beschrijft hij de noodzaak van het afstappen van password-authenticatie en het gebruik maken van ingebouwde oplossingen in browsers [toolbar], client applicaties [Windows CardSpace] of hardware [USB-stick] om de authenticatie af te handelen. Op deze manier hoeven gebruikers geen passwords meer te gebruiken.

Het nadeel hiervan is echter wel dat dit betekend dat we nog even geduld moeten hebbenvoordat het grote publiek OpenID zal gaan gebruiken, omdat deze oplossingen op dit moment nog niet beschikbaar zijn.

Als laatste geeft hij nog een waarschuwing aan alle OpenID providers die op dit moment overal opgestart worden. Net zoals ik de vorige keer al beschreef over de kwaliteit van OpenID providers, geeft hij ook aan dat het erg belagrijk is dat de OpenID providers begrijpen welke macht ze krijgen en dat ze daarom ook hun verantwoordelijkheid moeten nemen.

Via een posting van Alper Çugun over OpenID op Frankwatching kwam ik er achter dat OpenID in Firefox 3 (release Q3 of Q4 van 2007) standaard ondersteund wordt. Het idee is dat je je OpenID identities ook kunt opslaan in de Password Manager van Firefox. op deze manier zal het inloggen op nieuwe sites nog eenvoudiger worden.

Niet echt een killer-app voor het invoeren van OpenID, maar het geeft wel weer extra support aan de OpenID beweging.