OpenID es uno de los sistemas de identificación distribuida más conocidos y que aspiran a constituirse como una alternativa sencilla ante la creciente complejidad de nuestra vida online, que incluye la utilización de numerosas webs diferentes, cada una con su usuario y su contraseña. Es algo complejo, y por eso OpenID y su simplicidad (un usuario y una contraseña para todas las webs) tienen tanto poder de atracción. Nos hacen la vida (aparentemente) más sencilla, y nos encantan las cosas sencillas. OpenID vendría a sustituir a todos estos identificadores, para hacernos la vida más fácil (aunque ahora veremos que toda facilidad tiene un precio). Visto así, OpenID es el concepto de simplicidad aplicado a la identificación web.

Pero un problema complejo puede no tener una solución sencilla. Al menos, es posible que las soluciones sencillas no sean demasiado apropiadas y en el fondo estemos pagando un precio. La identificación web es un problema complejo, y simplificar demasiado ese proceso no está exento de riesgos.

Un concepto importante cuando hablamos de seguridad es la compartimentización: el aislamiento de unos elementos de un sistema respecto de otros, para evitar que un problema en uno de ellos se propague al resto. Un ejemplo de esta separación lo tenemos en los edificios más modernos, obligados por ley a instalar puertas antiincendios cada dos o tres viviendas. De esta forma, si una vivienda arde, el fuego queda recluido a una zona localizada del edificio, manteniéndose a salvo el resto. Ciertamente, es una cuestión de sentido común, y sin embargo no fue de uso obligatorio hasta que no hubo muchos, muchísimos incendios en edificios. Pero OpenID destruye este aislamiento estanco entre diferentes servicios web, al usar el mismo usuario y contraseña para cada web. Si tus datos de acceso caen en malas manos, de un soplo estás poniendo en peligro la seguridad de todas tus cuentas de usuario en diferentes servidores.

¿Qué solución le damos?

Hay diferentes aproximaciones, evidentemente. Está claro que si no nos convence su modo de operación, hay que hacer algo. Tal como yo lo veo hay dos posibilidades: el rechazo total y la solución pragmática basada en niveles de seguridad (como en una cebolla con capas).

  1. El rechazo sin más a OpenID. Si no te gusta o no te parece seguro, no lo uses. Y se acabó. Sigues recordando cada usuario y contraseña que necesites. Es válido, pero yo voy a optar por la opción 2.
  2. Usar OpenID para lo menos importante. Si no queremos que por usar una aplicación web de importancia menor, que puede verse comprometida, nos puedan entrar en nuestro correo personal o en nuestro banco, no debemos usar OpenID en estos servicios (suponiendo que nos lo ofrecieran, que lo dudo). La idea es usar OpenID para actividades no críticas y en actividades en las que identificarte sea suficiente ventaja para el precio (en seguridad) a pagar. Si me preguntan a mí, yo uso OpenID para firmar comentarios en blogs… y para nada más. Así que resulta que este OpenID distribuido del que tanto se habla no soluciona el problema de los múltiples identificadores y que, para colmo, parchea mejor los servicios menos importantes, ¿para eso tanto alboroto?

¿Cómo hemos de recibir entonces la extensión/adopción de OpenID como identificador en cada vez más servicios web?

Desde mi punto de vista: con mucha prudencia. Si me preguntan a mí, les diría que yo no lo usaría. Como argumento el problema de seguridad ya expuesto (que no me parece poco). Cuando webs como Facebook anuncian la adopción de OpenID, los análisis del movimiento suelen dejar de lado este punto de vista. Sin duda un servicio de este tipo, pese a no tener mi tarjeta de crédito, no es de los que yo catalogaría como de importancia menor: si todas tus comunicaciones están en Facebook, es vital que la identificación de esa web no se vea comprometida porque estás usando el mismo usuario y contraseña que ya usas en otra web.

Sabemos que muchos incendios hicieron falta para que la instalación de puertas antiincendios en viviendas fuera obligatoria, ¿estamos preparados para jugarnos toda nuestra identidad online a la carta única de un identificador que podría demostrarse inseguro o cuya seguridad podría verse comprometida, dejando vulnerables nuestra vida online en múltiples webs?

Aclaración final

También se está poniendo de moda iniciar sesión con tu cuenta facebook o twitter…. en fin, haciendo un guiño a la Edad Media; en esta era de Santo y Seña al final el identificador universal acaba siendo el correo. Pierdes el correo y perderás toda las cuentas que se pueden recuperar con él. OpenId introduce la posibilidad de automatizar más fácilmente si con el correo empleas contraseñas diferentes en cada servicios. En resumen, en ese escenario poco importa la sensación de seguridad si algún desalmado puede destrozar la seguridad de tu correo y recuperar TODAS las contraseñas mediante él (te lo juro por el pass de mi hotmail).