Het concept OpenID lijkt de laatste tijd vleugels te hebben gekregen. Veel mensen zijn het erover eens dat dit een belangrijke stap is uit de ellende van accounts waar we in zitten. Diezelfde mensen zijn het er ook over eens dat er nog een lange weg te gaan is voor het grote publiek dit snapt. Een poging tot uitleg, de logica achter de toepassing.
Wat is OpenID?
OpenID (Wikipedia) is een manier om in te loggen op verschillende sites met behulp van één identiteit —je OpenID— en één wachtwoord. Sites die OpenID ondersteunen heten OpenID-consumenten.
Een OpenID is een URL. Die van mij is: http://alper.nl. Deze URL bevat code waaronder een verwijzing naar een identity provider. Dit is de derde partij die verifieert dat een gebruiker de eigenaar is van een bepaalde OpenID. Het is dus een soort Single Sign On maar dan open en gedistribueerd.
Hoe werkt het?
Een site die OpenID ondersteunt heet een OpenID-consument. Zo´n site geeft aan dat deze OpenID accepteert door een tekstveld met het OpenID-logo en het ontbreken van een wachtwoordveld. In dat tekstveld vult de gebruiker zijn OpenID in.
De OpenID consumerende site roept die URL aan en krijgt van de webserver de gegevens door welke OpenID provider voor de authenticatie zorgt. Bij mijn OpenID is in de code van de pagina het volgende te vinden:
<link rel="openid.server" href="http://www.myopenid.com/server" mce_href="http://www.myopenid.com/server" />
<link rel="openid.delegate" href="http://alper.myopenid.com/" mce_href="http://alper.myopenid.com/" />
<meta http-equiv="X-XRDS-Location" content="http://alper.myopenid.com/xrds" />
Door deze code weet de OpenID-consument dat de authenticatie voor de OpenID http://alper.nl plaatsvindt bij de OpenID-provider MyOpenID. De browser wordt doorgestuurd naar MyOpenID en daar krijgt de gebruiker de vraag of (in dit voorbeeld) zooomr.com geauthenticeerd mag worden.
Als de gebruiker dat bevestigt, wordt deze terug geleid naar de originele OpenID consumerende site, die weet dan met wie hij te maken heeft en heeft de gebruiker ingelogd.
Achter de schermen vindt er wat cryptografisch heen en weer plaats, iets waar de meeste mensen zich niet mee bezig hoeven te houden. De specificatie staat online en voor de meeste omgevingen zijn er goede implementaties beschikbaar.
De essentie van OpenID is dat het een simpel en open principe is dat complexere toepassingen mogelijk maakt. Consumenten en aanbieders van OpenID kunnen verder innoveren door meer en betere functionaliteit op de bestaande basis aan te bieden.
Waarom is het beter dan bestaande initiatieven?
Het is zoals de naam het al zegt open en bijzonder simpel. Dat betekent dat iedereen zonder veel moeite of kosten alle onderdelen van het protocol kan implementeren. Omdat het geen monopolistisch gesloten initiatief is, is er ruimte voor concurrentie en keuze voor de gebruiker.
In het protocol is al ingebouwd dat je zonder problemen van OpenID provider kunt overstappen als deze onbetrouwbaar mocht blijken te zijn. Daarnaast heeft de gebruiker controle over zijn eigen gegevens.
Wat staat er nog open?
Een groot deel van de OpenID ruimte is nog in beweging. Waarom je het zou willen gebruiken is duidelijk maar waar dat kan en de precieze details worden verder verfijnd. Aan de ene kant is deze onduidelijkheid hinderlijk, maar aan de andere kant biedt dit ook juist weer volop kansen aan mensen die bij willen dragen.
- Onduidelijkheid: Er is nog veel ruimte om dit systeem gebruikersvriendelijker te maken. Het is nu voor een groot deel nog het domein van de techneuten. Het feit dat mensen naar een compleet andere site worden doorgestuurd kan verwarrend werken en dat je een URL moet invullen als gebruikernaam is ook nog niet de gewoonste zaak van de wereld. Dit moet gebruikersvriendelijker gemaakt worden, wil OpenID echt een succes worden.
- Veiligheid: Die onduidelijkheid en het feit dat er sprake is van een tussenliggende site maakt het systeem ook gevoelig voor phishers —mensen die een eigen site er tussenin weten te zetten en zo gegevens onderscheppen. OpenID is hier wat gevoeliger voor dan de meeste andere indernetsites, maar er wordt ook gewerkt om dit op te lossen.
Wie gebruiken het al?
De technici die het hebben bedacht en andere bloggers claimen hun OpenID op hun eigen sites. Een van de grootste pleitbezorgers van OpenID in Engeland is Simon Willison, die bergen werk heeft verzet. Zijn presentaties op Barcamp London en the Future of Web Apps inspireerden veel mensen (waaronder mij) om hiermee aan de slag te gaan. Op zijn blog schrijft hij over de laatste ontwikkelingen in OpenID.
Het grote publiek heeft meestal niet de beschikking over eigen sites en is dus afhankelijk van hosted toepassingen. Die zijn er genoeg sinds zwaargewichten als AOL, Yahoo! en Microsoft hun steun hebben betuigd aan OpenID. Daarnaast heeft iedereen met een LiveJournal of een Wordpress.com blog automatisch al een OpenID.
Sites die OpenID ondersteunen zijn social bookmarking site Magnolia, fotosite Zooomr en poll site Jyte. Digg heeft beloofd OpenID te gaan implementeren.
Firefox 3 gaat ondersteuning voor OpenID aanbieden in de browser aanbieden. Dit zal waarschijnlijk een combinatie zijn van bescherming tegen phishing en identiteits/ wachtwoord-functionaliteit.
En wat gebeurt er in Nederland? De site Mijn OpenID.nl biedt een eenvoudige en gebruiksvriendelijke manier om een OpenID te krijgen maar sites in Nederland waar je je OpenID kunt gebruiken heb ik nog niet gezien. Wie biedt?
Wat kun je er nog meer mee?
Ik verwacht veel van het idee dat OpenID een simpele bouwsteen is die complexere toepassingen mogelijk maakt. Als je eenmaal weet wie iemand is, kun je gaan bouwen aan vertrouwen en toepassingen.
- Lichtgewicht accounts: Het wordt met OpenID makkelijker om overal in te loggen zonder e-mailadressen te hoeven achterlaten en wachtwoorden te hoeven onthouden. Op mijn nieuwe blog Four Starters is het bijvoorbeeld mogelijk om in het commentaarveld in te loggen met een OpenID. Als blogs gebruikers op deze manier laten inloggen zijn de toepassingen legio. Het is mogelijk om vertrouwde gebruikers meer rechten te geven en white lists van niet-spammers uit te wisselen om maar een paar voorbeelden te noemen.
- Eigen sociale netwerken: Door het feit dat een OpenID uniek is, is het mogelijk om mensen te identificeren. Dit zou een oplossing kunnen zijn voor de profielinformatie die verpsreid ligt over allerlei sociale netwerken. Als gebruikers naast hun OpenID ook hun profielinformatie en hun lijst van vrienden meeleveren, dan heb je in feite al een sociaal netwerk. Voor profielinformatie is er nog niet echt een standaard maar vrienden zijn al aan te merken met XFN. Applicatiebouwers kunnen hier hele interessante open sociale netwerken op bouwen (hierover in een later artikel meer).
Simon Willison weer bedankt voor de inspiratie. Zie ook zijn presentatie voor meer over OpenID.
Met dank aan John A-P voor de foto.
Alper Çugun is bijna afgestudeerd aan de TU Delft. Hij is hoofd communicatie van de Nederlandse startup TipIt.to en werkt zelfstandig in alles wat met internet te maken heeft.
Patrick Mulder (AdFi 
Martijn van Beek 
Carel 
Jay 
Mark Appel 
OpenID is een stap in de goede richting, het is inderdaad wachten op uitbreidingen. Ik heb een tijdje geleden trouwens ook iets over OpenID geschreven, misschien een leuke toevoeging op dit verhaal.
Goed idee. Missschien kan dit een standaard worden. Alle bloggers moeten dit promoten.
Goed initiatief, maar het inloggen moet toch echt nog veranderen alvorens het algemeen aanvaard zal worden.
- Een url als login: veel te lang. Mensen gaan dit niet onthouden. Dit moet zeker korter/anders
- Redirect naar een andere site: indien de andere site dezelfde opmaak heeft als de originele zijn er niet veel problemen. Anders ga je de gebruikers in de war brengen.
@Robby:
Ten eerste is een URL denk ik makkelijker te onthouden dan een user/pass combo per site. Het hele probleem dat OpenID initieel wil aanpakken is dat je niet overal een andere username hebt omdat op die ene site jouw username al weg is.
Verder word er als alternatief ook gewerkt aan het gebruik van XRI’s ipv URL’s.
Op je tweede punt reageerde ik eerst ook erg skeptisch, maar als je er bij stilstaat valt de verwaring erg mee. Een OpenID site met een secure signin maakt phishing erg lastig, en is phising niet ook gewoon een voorbeeld van “verwarring”. Mensen moeten misschien wat meer gewend raken aan verwarring….
Het gebruik van XRI’s zou al een hele stap vooruit zijn naar userfriendlyness toe.
En inderdaad, de beveiliging zal wel in orde zijn. Ik bedoelde eigenlijk meer dat er een toolkit zou moeten zijn zoals bij Paypal. Op die manier kan je de redirect pagina in de stijl van je eigen site houden. Dit komt wat consistenter over.
En natuurlijk heeft dit enkel kans van slagen als een aantal grote jongens zich hier volledig achter zetten (en toepassen), bv. hotmail, gmail, messengers allerhande, …
Whowhowho! Juist niet! Het idee van 1 openid provider is dat je 1 vaste, gelijk uitziende, inlog gebruikt. Custom skins zijn juist verwarrend en bevorderen phising.
Vergeet verder ook dit niet: als je eenmaal bent ingelogt op je OpenID provider “zie” je de redirect nieteens omdat je al ingelogt bent. De redirect gebeurt wel en vraagt de eerste keer hooguit om toestemming en daarna zie je je OpenID provider nieteens meer.
[...] Via een posting van Alper Çugun over OpenID op Frankwatching kwam ik er achter dat OpenID in Firefox 3 (release Q3 of Q4 van 2007) standaard ondersteund wordt. Het idee is dat je je OpenID identities ook kunt opslaan in de Password Manager van Firefox. op deze manier zal het inloggen op nieuwe sites nog eenvoudiger worden. [...]
Cristiano, nu ik je uitleg lees moet ik je gelijk geven. Verschillende layouts kunnen inderdaad phishing bevorderen.
Betreffende het 1* inloggen: hoe wordt dit dan tussen sites ontouden ? Een encrypted cookie of zo ?
@Robby en @Cristiano: Redirect probleem zijn we nu mee bezig. Je krijgt op mijnopenid.nl binnenkort affiliating. Dan kan je de site stylen naar je eigen vormgeving.
Een URL als login staat of valt bij een lange domeinnaam natuurlijk :-)
@Robby: Ook bij een aangepast lay-out kan je herkenbaarheid creëren. Maar het blijft een lastig probleem.
Wat is er langer? jaap@example.com of jaap.example.com? Wat is er moeilijker te onthouden?
Een url /kan/ langer zijn en dus moeilijker te onthouden, maar dat hoeft niet. En emailadressen worden al jaren met success als inlog-ID gebruikt, dus kan een url dat net zo goed. Ze verschillen normaliter niet qua lengte (dus).
@Marc: Bloggers moeten dit inderdaad promoten maar er is nog een grote kans (en veel werk) om goede plugins voor alle verschillende blogtools te bouwen.
Er zijn verschillende plugins voor Wordpress (op Fourstarters gebruiken we wpopenid) maar die zijn nog een beetje gammel. Consolidatie op dit vlak zou goed zijn.
Daarnaast stel ik me voor dat de situatie bij andere blogtools minder goed is. Als je je bezig houdt met een of ander blogplatform is het niet al te moeilijk om een plugin te schrijven en veel waardering te oogsten.
@Roby: Ah, Cris zei al iets over, hier de link: XRI.
[...] Ieder techysavy person heeft tegenwoordig de mond vol met Open Source, Open ID, Open Innovation, enz. Recent mocht de Open trend nog een nieuwe telg baren en neen het is niet de marketingtruk van voormalig VLD. Meer cool is de Open Air Pizza oven die met twee elektrische warmte-elementen je 30cm pizzaatje beloofd op te warmen, ja zelfs bakken. Maar of dit jou schijfje Italiaanse vreugde kan voorzien van een crusty toplaag durf ik toch sterk te betwijfelen. Desalniettemin een funky gadget dat niet zou mistaan naast je ceramische slide toaster. [...]
Klinkt goed, één wachtwoord om je aan te melden op verschillende sites. Dit lijkt me ideaal voor basic stuff, zoals blogs, social networking, ed, maar voor online banking en officiële instanties (belastingen, ed) heb ik toch zo mijn bedenkingen. Hoe zit het met de authoriteit van de OpenID-provider? Want daar staat of valt toch alles mee. Wat als die gegevens gekraakt worden?
@Barbara: In Nederland wordt gewerkt aan een OpenID stichting, deze stichting gaat de Nederlandse OpenID provider MijnOpenID beheren. Aan authoriteit wordt gewerkt door zoveel mogelijke Nederlandse sites en partijen bij de stichting te betrekken.
@Barbara: eigenlijk dient OpenID daar niet echt voor.
OpenID is prima voor je online activiteiten – eigenlijk zegt het niet meer dan: deze comment of deze account (aan de openID consumer kant) is écht en waarachtig van de persoon die gene website onder controle heeft (nl de URL waarmee je intekent en waar je die tags in de html hebt gezet die Alper beschrijft).
Ik mag er niet aan denken dat mensen dat voor hun banking applicaties gaan gebruiken, de motivatie om de desbetreffende site te gaan hacken wordt dan wel heel groot.
Een betrouwbare digitale burgerlijke identiteit hebben we in België al met de eID + kaartlezer – en als je je online (blogger) identiteit aan je burgerlijke identiteit wil koppelen kan dat binnenkort via initiatieven als http://openeid.be/ (niet dat ik daarop sta te wachten).
Overigens: long time no see :-)
Ook bij ons kan je sinds kort gratis een OpenID account aanmaken op http://openid.openminds.be/ (Ik denk trouwens dat de daarmee de eerste in België zijn).
Deze presentatie van Dick Hardt gaat over identity 2.0 http://identity20.com/media/ETECH_2006/ wat mij betreft ook een aanrader; interessant en erg leuk.
Wat ik niet begrijp is dat ik nu toch 2 open IDs heb; 1 van openid.net en 1 van mijnopenid.nl. Dit ondermijnt toch de gedachte van 1 ID over het hele web?
Of snap ik het niet…
@Erno: Die van openid.net heb je ook niet meer nodig! :-) Je hebt er ook maar één nodig. Ook al werken je beide id’s het op alle OpenID ondersteunende sites.
Maar het idee is dat je zelf een provider kiest welke je vertrouwd. Dat ik ook het doel van de Nederlandse provider, een betrouwbare partij lokaal zijn. Anders moet je een Amerikaans bedrijf vertrouwen waar je slecht zicht op hebt.
En nu even over geld. Veel site-eigenaren verdienen geld door mensen een profiel te laten aanmaken en daar allerlei nieuwsbrieven en opt-ins aan te hangen. Kan je met OpenID ook gelijk je profiel overal meesturen, of is het alleen het wachtwoord en moet ik op elke afzonderlijke site nog mijn profiel gaan invullen?
En als mijnopenid.nl het makkelijk maakt, waarom dan ook nog een /is/ ertussen plaatsen? Werkt moeilijker dan mijnopenid.nl/brambo toch?
Zeker iets om in de gaten te houden, maar bovenstaande is wel iets waar site-eigenaren omzet mislopen.
Beste Brambo,
Je kan ook met http://mijnopenid.nl/naam inloggen! Lekker makkelijk toch? ;-)
Ha Alper leuk stuk, vooral je idee van een openID Adresboek spreekt me heel erg aan. Zelf heb ik er ook wel eens over gedacht, en ik zou het als volgt invullen: In je openID adresboek / vriendenlijst “OpenList” kun je alle gegevens van je vrienden bewaren met een minimum van een voornaam en een email adres. Bij deze vrienden kun je vervolgens aangeven of je ze bij een nieuw social network, direct wilt toevoegen, (en zij jou) of je dat eerst per mail gevraagd wilt worden, of dat je ze juist wilt negeren(opt out / opt in / ignore). Op deze manier leek het me mogelijk, om direct na het aanmaken van een account op weer een social network je OpenList url op te geven, en die te synchroniseren met wat er al in de database van de desbetreffende site staat. Dan heb je meteen al je vrienden gevonden, zijn ze direct al toegevoegd (als je daar beide van te voren toestemming voor hebt gegeven) en bespaard je dat weer dat half uurtje zoeken. En helemaal ideaal, als een van je vrienden zich pas 2 maanden later zich aanmeld, ligt jou relatie met hem al op hem te wachten en kan de site direct zonder jou tussenkomst deze persoon aan je vrienden lijst toevoegen.
(Een bredere toepassing van een OpenID account staat nog uitgelegd weblog
[...] OpenID: Één wachtwoord voor de toekomst – Frankwatching (tags: internet beveiligen) [...]
[...] Gister kwam het langverwachte CRM systeem Highrise uit, een stukje Ruby van de makers van Basecamp . Basecamp is een fantastisch systeem dus dat Highrise hoge ogen zou gaan gooien stond al lang vast, waar 37signals de bouwers van deze systemen zo enorm sluw in blijven is het volgens van trends, om daar vervolgens de menigten op af te laten komen. Zo nu tijdens mijn eerste login op Higrise kwam ik het knopje ‘Login met uw eigen OpenID’ tegen, een manier van inloggen op verschillende websites met èèn identiteit. Het was me opgevallen maar nog niet genoeg om me er verder in te verdiepen, totdat ik toevallig de post las op frankwatching toch eigenlijk wel heel erg handig. Voor meer informatie over OpenID leest u verder op frankwatching [...]
Een duidelijke uitleg hoe Open ID werkt vind je hier:
http://www.uzy.nl/2007/02/26/2007-het-jaar-van-openid/
[...] Ik kreeg een week of wat geleden een mailtje van een journalist van PC Magazine die een stukje wilde schrijven over OpenID en bij mij kwam naar aanleiding van mijn stukje bij Frankwatching. [...]
Alper, je prima verhaal en – last but not least – Simons vernieuwingsdrang hebben er toe geleid dat we een week geleden ook hier op Frankwatching de openID optie zijn gaan aanbieden (zie de reageeroptie). Ik vermoed dat er de komende tijd nog wel meer sites de stap gaan maken.
[...] heb er eerder al een uitleg over geschreven op Frankwatching wat redelijk veel aandacht trok en een recent artikel op Four Starters sloeg ook lekker in. De [...]
[...] die op alle sites worden doorgetrokken. En OpenID zou dit allemaal kunnen waarmaken. Lees ook even dit artikel hierover, vooral het laatste [...]
[...] toch een opmerkelijke groei in 2007. Mainstream kan je dit systeem nog niet noemen maar stilaan breekt deze toch door bij enkel grotere online services. Het zou alleszins een opmerkelijke vooruitgang betekenen voor [...]
Een late reactie op een artikel van ruim een oud jaar, maar wel relevant. LogMijIn (http://www.logmij.in) staat op het punt gelanceerd te worden.
LogMijIn biedt een secure OpenID door het gebruik van SSL met een eenvoudige te onthouden URL: logmij.in/als/jouwnaam. Mocht je zelfs die URL lastig te onthouden vinden, dan kun je ook je eigen URL naar LogMijIn delegeren.
Ennuh, nog geen ondersteuning van OpenID op Frankwatching…?
Stanley: We hebben hier een tijd lang OpenID ondersteund, maar het had maar weinig zin omdat je je niet kunt registreren op Frankwatching. Als je een reactie achterlaat hoef je alleen maar je naam en e-mail adres achter te laten (en eventueel een URL). Weinig mensen maakten er dus gebruik van. Toen het wat problemen veroorzaakte hebben we het weer weggehaald.
Als we in de toekomst gebruikersregistraties gaan gebruiken zal OpenID wel weer terugkomen, maar dan heeft het tenminste nut. :)
ik wil en andere wachtwoord hebben
[...] december 1, 2008 · Geen Reacties Moeite met het onthouden van talloze gebruikersnamen en wachtwoorden? Het zou handig zijn om één digitale identiteit te hebben. Microsoft heeft het geprobeerd met passport, maar nu lijkt er een oplossing te komen die door een groot aantal partijen wordt ondersteund: OpenID. In Nederland is er een site waar je dit kunt aanmaken. Op de site http://mijnopenid.nl kun je een account aanmaken. Dit kun je toepassen bij sites die dit ondersteunen. Meer informatie: http://nl.wikipedia.org/wiki/OpenID en http://www.frankwatching.com/archive/2007/03/19/openid-een-wachtwoord-voor-de-toekomst/ [...]
tijd voor een update over openID nav
http://www.yme.nl/ymerce/2009/04/15/helft-nederlanders-een-openid/
@Mark: Die update is er nu: http://www.frankwatching.com/archive/2009/05/16/openid-nu-eindelijk-in-de-praktijk/