Personlig profil kommer snart – men vilken inloggning ska vi välja?
Posted: February 4th, 2009 | Author: Pia Flodquist | Filed under: Uncategorized |Om några veckor ska det gå att skapa en personlig profil på www.samhallsentreprenor.se/. Det blev resultatet av den senaste omröstningen här på bloggen.
Då kommer genast nästa knäckfråga - inloggningen. Hur många olika inloggningar har du på nätet? Visst skulle det vara bra med en enda nät-id som man kan använda överallt. Och genast är kriget om vems standard som ska gälla i full gång.
Strax före årsskiftet läste jag en artikel i Ny Teknik som handlade om just id och inloggnings-kriget mellan Facebook och Google. Det finns en uppenbar risk att vi om några år sitter med lika många nät-id:n som vi har lösenord idag. Och hur kul verkar det? Jag längtar till den dag jag har en enda identitet på nätet men jag ser inte den dagen i kristallkulan.
Alla stora tävlar om vems inloggning eller id som ska regera på nätet. OpenId finns ju. Och här i Sverige använder Försäkringskassan och några fler e-legitimation. Google har Friend Connect som gör att man kan logga in med sitt Google-, Yahoo-, AIM- eller OpenID-konto. Och tänka sig, av nån anledning släppte Facebook samma dag som Google släppte sin inloggning: Facebook Connect.
För att göra det enkelt för er ska vi försöka erbjuda de inloggningsmöjligheter ni har önskemål om. Vi börjar med möjligheten att använda sitt Facebook-konto med hjälp av Facebook Connect eftersom jag vet att en del av er är med i gruppen Samhällsentreprenörskap på Facebook. Vill någon använda OpenID? För er som vill kan ni naturligtvis skapa en ny inloggning.
Har vi glömt nån viktig inloggning?
Kika här: http://edenstrom.wordpress.com/2009/01/20/clickpass-och-disqus-gor-nya-medlemskap-overflodiga/ Mvh, Martin
Det här ska vi absolut kolla upp.
Tack för tipset Martin!
//Pia
Hej,
Jag har svarat på frågan vilken inloggning man ska använda.
Eurodocs erbjuder en helt ny unik inloggningslösning som är bland det säkraste, billigaste och mest flexibla. Och till skillnad från alla andra innehåller vår lösning ett skydd för den personliga integriteten.
Alla människor är olika, har olika behov och förutsättningar. Eurodocs ID innebär att man inte behöver välja. Låt varje individ själv välja inloggningsmetod som passar individen.
Låter detta som som en utopi! Det gör väl de flesta samhälsentreprenörers idéer.
Kontakta mig så kan jag förklara.
070-5 742 742
Hej Sosso!
Jag är en av utvecklarna bakom samhallsentreprenor.se. Jag har svårt att se hur en extern loginlösning skulle vara bra i vårt fall:
Om säkerhet: De användaruppgifter folk väljer att lagra på sajten är saker som folk inte har något emot att blir publika. Det är hela meningen med sajten, att sprida information om vem man är, och vad man gör. Så det är ingen issue.
Kanske menar du att er tjänst ger säkrare lösenord? Vi lagrar lösenorden hashade (med salt), så även om vi skulle råka ut för dataintrång och man skulle komma åt hela databasen så blir det jobbigt att ta fram lösenorden (speciellt om man valt något jobbigt). Har svårt att se att en tredjepart skulle kunna göra det säkrare än så.
Det vi nu ska göra är att integrera OpenID, och det lutar åt rpxnow vilket gör att folk kan använda sin facebook, google-konto m.fl. Vi vill låta folk välja inloggningsmetod.
Vad gäller kostnad så är det helt gratis. Vad gäller flexibilitet så bygger vi ju själva…
Hej Emil!
Det vore synd att avfärda något innan man förstår det. Ni gör hur ni vill med er sajt men den dagen ett intrång inträffar har ni ett ansvar gentemot användarna. Jag ska försöka att sakligt besvara dina argument och hoppas att du inte ser det som en kritik.
För det första är min lösning inte en extern lösning. Den är lika intern lösning som er nuvarande lösning med användarnamn/lösenord eller om ni väljer OpenID och rpxnow med facebook, google-konto m.fl.
Du motsäger dig själv när du först påstår att de användaruppgifter folk väljer att lagra på sajten är saker som folk inte har något emot att blir publika och sedan säger att ni lagrar lösenorden hashade. Varför haschar ni lösenorden och varför använder ni lösenord överhuvudtaget.
Dina resonomang visar dessutom att du antingen inte inser vidden av problematiken eller att du inte bryr dig om att ta ansvar gentemot användarna. Först måste du bestämma dig för om vill du skydda användarnas personliga uppgifter eller inte. Väljer man att inte skydda användarnas information bör man så fall tala om det för användarna. Användarna bryr sig visst om vad som blir publikt eller inte och det är upp till de att bestämma det och inte någon annan. Deras användarnamn och lösenord är ytterst personliga och många använder samma användarnamn och lösenord på flera sajter. Nu vill jag inte höra argumentet att användarna borde vara försiktiga och inte använda samma användarnamn och lösenord på flera ställen. Detta fråntar inte er ansvaret att ändå skydda deras personliga information. Man måste bygga säkra tjänster och inte lägga ansvaret på användarna och deras kunskapsnivå. De behöver inte bli IT-säkerhetsexperter för att kunna använda en hemsida.
Du nämner att du har svårt att se att en tredjepart skulle kunna göra det säkrare än med haschade lösenord. Jag har ännu svårare att se någon seriös aktör som inte kan göra det säkrare än med haschade lösenord. Du kan läsa om alla skandaler de senaste åren och inte minst veckans skandal med Prisjakt där 500 000 användarkonton blivit stulna. De flesta av dessa har också använt haschade lösenord.
Du säger själv att blir bara lite svårare att knäcka haschade lösenord.
”Även om vi skulle råka ut för dataintrång och man skulle komma åt hela databasen så blir det jobbigt att ta fram lösenorden (speciellt om man valt något jobbigt).” säger du.
Jag kan berätta för dig att det inte blir något problem att knäcka hashcade lösenord, även om man använder något jobbigt. Jobbiga lösenord är bara jobbiga för användarna men inte för hackarna.
Först tackar du nej till mig och kallar mig för en tredje part. Sedan berättar du att du ska använda OpenID med möjlighet till Faccebook, google-konto m. fl.
Är inte de tredje part?
”Vi vill låta folk välja inloggningsmetod”, skriver du vidare.
Jag håller med dig, man ska låta folk välja själva. Men du vill bara låta de välja bland dina favoriter. Varför inte låta de verkligen välja fritt bland alla möjliga alternativ. Många skulle kanske välja att min lösning!
Ditt näst sista argument är att det är gratis. Och jag håller med dig fullståndigt. Jag har uppfunnit ordet, gratis är bäst. Vad får dig att tro att min lösning inte är gratis?
Ditt sista argument är att flexibilitet är att ni bygger själva. Jag hade egentligen tänkt att låta er välja mellan att jag bygger det åt er, att jag hjälper er att bygga eller att låta er bygga det själva. Men det är kanske för flexibelt för er!
Till slut vill jag säga att jag försökte hjälpa er och jag är absolut inte ute efter ert jobb eller uppdrag!
Mvh
Sosso
Hej igen,
Tack för ditt utförliga svar. Låt mig förtydliga mitt svar lite:
Med publika uppgifter så menade jag allt som ingår i medlemmarnas personliga profiler (webbplats, presentation, …), inte lösenord, något som vi förstås håller hemligt. Jag förstår vidden av att hålla lösenord hemliga, tro mig.
Med “jobbigt” så menade jag att det inte på rimlig tid blir möjligt att ta fram alla lagrade lösenord. Givetvis kan man fortfarande testa sig fram, s.k. brute force.
Jag är förstås nyfiken på hur din lösning lagrar lösenord. Om det finns något bättre sätt så vill jag gärna veta mera om det, om inte annat för att själv bli en bättre utvecklare. Som jag förstått det är det sätt som vi använder nu det som anses som industristandard (utom banker).
Jag har också svårt att se att man genom din tjänst skulle få välja bland “alla möjliga alternativ”, men även här får du gärna utveckla hur detta skulle gå till.
Mvh,
Emil Stenström, utvecklare för samhallsentreprenor.se