Identità, accounting e reputazione

Oggi mi son fatto una serie di pipponi mentali su dei concetti che ancora non mi sono del tutto chiari.

Veniamo al dunque e al contesto. L’idea è quella di mettere insieme delle persone in un ambito ben perimetrato, tipicamente un social network. Fino a qui tutto bene, ma l’dea è anche quella di rendere il tutto eticamente sostenibile sfruttando al massimo i nuovi servizi del web e il sistema fiduciario della rete.
Ok, qualcuno potrebbe suggerirmi di creare un gruppo su Linkedin o su Facebook o magari di farmi un Ning. Niente di più semplice finchè restiamo nell’ambito dei soliti 4 gatti che abitano la rete. Nel mio progetto si tratta di mettere insieme dei professionisti e, magari, aprire il dialogo in modalità “moderata” ad ulteriori contributori (cittadini immigrati digitali).
Tutto parte da un blog che deve dare accesso ai commenti, e ai contributi, mediante l’accertamento “leggero” dell’identità. A me sembrava logico pensare a OpenId, e qui nascono tutti i pipponi di cui in premessa.

Ma cos’è OpenId? Secondo il sottoscritto, è un sistema di identità leggera.

Infatti, si deduce dal sito di OpenId che l’obiettivo è, principalmente, quello di eliminare l’angoscia da password.

clipped from openid.net

OpenID eliminates the need for multiple usernames across different websites, simplifying your online experience.

You get to choose the OpenID Provider that best meets your needs and most importantly that you trust. At the same time, your OpenID can stay with you, no matter which Provider you move to. And best of all, the OpenID technology is not proprietary and is completely free.

For businesses, this means a lower cost of password and account management, while drawing new web traffic. OpenID lowers user frustration by letting users have control of their login.

For geeks, OpenID is an open, decentralized, free framework for user-centric digital identity. OpenID takes advantage of already existing internet technology (URI, HTTP, SSL, Diffie-Hellman) and realizes that people are already creating identities for themselves whether it be at their blog, photostream, profile page, etc. With OpenID you can easily transform one of these existing URIs into an account which can be used at sites which support OpenID logins.

blog it
Ma OpenId è o non è un sistema di garanzia sull’account? Il fatto di aderire a una logica di questo tipo che garanzia offre sul fatto che l’identità digitale dell’utente sia corrispondente a un identità analogica della vita reale?
Oggi ne discutevamo su FriendFeed e una frase di Claudio mi ha aperto gli occhi: “OpenID non è e non vuol essere, di per sé, un sistema di trust. OpenID (e il tuo provider) non certifica che TU SEI CHI DICHIARI DI ESSERE, ma solo che tu POSSIEDI quel’URL. Il certificato, al limite, può essere usato dal tuo provider (vedi certifi.ca) per verificare la tua identità, appunto. Potrebbe essere il provider a CERTIFICARE chi sei, in base al fatto che tu ti sei autenticato su di esso.”

E qui casca il palco. Infatti, il solo fatto che un tizio chiamato Gigi Cogo si sia registrato su un provider OpenId e abbia ottenuto una url come questa: http://claimid.com/gigicogo non significa assolutamente che dietro ci sia effettivamente il Gigi Cogo della vita reale! Quel provider mi ha chiesto solamente un email per verificare che la richiesta di identità digitale partisse da qualcuno che possiede un account di email. Troppo poco amico mio!

Infatti, questo articolo (sempre consigliato da Claudio) chiarisce che anche gli amici del consorzio OpenId vanno giù leggerini sul concetto di “identità digitale“:

clipped from simonwillison.net

OpenID solves the identity problem, not the trust problem. When a user authenticates with OpenID, what they are doing is stating “I have the ability to prove my ownership of this URL”.

blog it

Però, tornando al mio pippone mentale, potrei dire che tutto sommato, il fatto di entrare o no nel cerchio della fiducia dipende anche dalla reputazione. Mi spiego meglio.
Se la mia pagina (la mia url di OpenId) fosse squallidamente vuota, allora potrei anche pensare che dietro all’identità digitale ci sia il vuoto.
Ma il vuoto di quella pagina può essere colmato dalla reputazione. E la reputazione, in questo caso, è l’elenco di tutte le mie attività di abitante della rete.
La domanda sorge spontanea: “Bastano i miei 250 contatti su Linkedin per garantire reputazione e possibile fiducia? Bastano i miei 16 blog censiti su Technorati per garantire reputazione e possibile fiducia? Bastano le mie 4459 foto su Flickr e tutti i friends associati per garantire reputazione e possibile fiducia? E bastano…………………

Insomma, se la reputazione è quella di un abitante della rete, è bastante e qualificante per poter infondere fiducia a chi deve gestire un social network e permettermi di dialogare o proporre contributi?

Il pippone è generato infatti da questo dilemma? E da una convinzione. Non voglio imporre STRONG AUTHENTICATION per un attività di questo tipo, se pur di livello professionale. Inoltre, i costi per un autenticazione certificata, con canale sicuro, ecc. ecc. sarebbe costosissima.
OpenId sarà pure un autenticazione debole, sarà pure una fiducia tutta da costruire, ma è un qualcosa è l’inizio di un qualcosa che pone la reputazione come possibile elemento di fiducia.

Per approfondire: Il blog di Openid.it curato da Claudio
Un servizio beta per l’Id personale certificata, consigliatomi da Mushin
Ovviamente OpenId.Net
E un paio di video:

Ovviamente………non sono ancora convinto di nulla :-)

10 Comments

  1. Gigi, credo che non solo nel mondo della ricerca ma un po’ ovunque, se una discussione e’ vecchia (proprio nel senso di gia’ fatta da anni), invece di ricominciarla da capo (reiventare la ruota ogni volta, avrebbe detto mia nonna) si cerca la cosiddetta letteratura gia’ esistente in merito.Se poi voi avete molto tempo e vi piace discutere, e pure saltando tra qui e Friendfeed, vabbe’, contenti voi…Io ti volevo solo suggerire che il problema e’ gia’ stato affrontato, da vari punti di vista e da parecchi anni, sia se parliamo di single sign on, sia se parliamo di criteri soggettivi con cui ciascuno valuta l’attendibilita’ altrui, sia se parliamo di come una comunita’ on line puo’ controllare l’identita’ dei suoi iscritti.Ciao, Fabio.http://xoomer.alice.it/fabio.metitieri

    Mi piace

    Rispondi

  2. @fabio,per me una discussione utile è soprattutto “UTILE”. Se è vecchia o nuovo non ci faccio caso. Attualmente è utile per me e per qualcun’altro che qui o altrove ha dibattuto.Su FF non c’è nessun obbligo, mancherebbe altro. Ognuno è libero di fare e seguire quello che vuole. Buona giornata

    Mi piace

    Rispondi

  3. Gigi, questi sono discorsi vecchi.C’e’ un terreno, e-commerce a parte, dove da sempre si riflette molot e molto seriamente – anche individualmente, intendo – su come verificare l’identita’ dell’altro on line.Ed e’, semplicemente, quando on line cerchi “amicizie” (termine da declinare a piacere, partendo dal romance della piu’ mielosa tradizione statunitense e arrivando alla cruda scopata senza cerniera, anche solo virtuale).Da anni, quindi, abbiamo parlato tutti di un processo di verifica a passi successivi e di quali mezzi, on line, sono considerati certificanti o no. E da anni questo meccanismo funziona: fai mente locale e prova a immaginare quanti incontri reali nascono da rapporti on line e quanti pochi incidenti (quasi nessuno, direi, non di serio) si sono verificati finora.Insomma, non c’era mica bisogno di spremersi le meningi su OpenId, per dire che la certificazione non puo’ essere garantita da una cosa dle genere…;-)Ah… e iniziare un discorso qui e poi spostarlo altrove mi pare maladif. Scusa, ma io non ho cosi’ tanto tempo da perdere.Ciao, Fabio.http://xoomer.alice.it/fabio.metitieri

    Mi piace

    Rispondi

  4. @MarcoGrazie mille, mi buttò subìto sulla lettura@MaurizioE’ FF che spezza il meme, m’a lui c’è.Il contesto che ho descritto su FF e’ quello del social network misto, che rileva le identita’ aziendali dal directory e quelle esterne dal circle or trust della rete.Mannaggia a FF :-)

    Mi piace

    Rispondi

  5. Scusa Gigi, ma questa conversazione è incompleta se non si conosco gli obiettivi. Qual’è il tuo scopo, perché metti insieme le persone, per il loro ruolo, per le loro competenze o altro? Sei partito prendendo in considerazione uno strumento, ma a me non essendo chiari i presupposti, non è possibile dire se non ci siano altre valide soluzioni alternative

    Mi piace

    Rispondi

  6. @fabio metitieri,ti ringrazio del commento. In effetti il tema non è solo tecnologico, IMHO, ma anche culturale. Quanto vale la reputazione web? E come deve essre strutturata la reputazione web per poter provare (se mai lo farà?) un identità?La tua indicazione sul numero di telefono è sicuramente utile perchè inserisce un tema importante e cioè: “oltre agli strumenti e servizi web che strutturano una reputazione serve un elemento tradizionale (n. di cellulare, codice fiscale, ecc.) per qualificare in modo più forte l’identità?Ma come vedi, piano piano, stiamo andando verso la “strong authentication……dove un AUTORITA’ riconosciuta si fa da garante controllando a due vie il processo.La discussione prosegua anche qui: su FF

    Mi piace

    Rispondi

  7. Nella mia limitata conoscenza di OpenID, mi sembra di capire che il modo più corretto di utilizzare OpenID non sia quello di utilizzare direttamente la URI di identità fornita dal proprio OpenID provider, ma piuttosto quello di linkarla alla propria homepage o blog e poi usare la propria URI come claim di identità in una sorta di delegation.Si veda ad esempio http://www.intertwingly.net/blog/2007/01/03/OpenID-for-non-SuperUsersQuesto, oltre ad essere più “provante” dal punto di vista dell’identità digitale, permette tra l’altro di cambiare l’OpenID provider senza cambiare la propria identità. BTW, non ho una homepage o un blog :-)Ciao,Marco

    Mi piace

    Rispondi

  8. In effetti, come dice Claudio, OpenId sembra solo un single signon (come hanno tentato di lanciarne tanti altri, da Passport di Microsoft in poi) e non ha nulla a che vedere con una verifica di identita’, neppure debole.Vero e’ che in Rete esistono segni della tua presenza che possono essere considerati come deboli certificazioni, ma non vedo come questi possano essere rafforzati da OpenId.Per essere ancora piu’ chiaro: la mia home page Web ha esattamente lo stesso valore, nel “provare” la mia identita’, della tua ClaimId page.Anzi, dato che nella mia, se cerchi bene, trovi anche il mio numero di telefono fisso, che e’ in elenco telefonico Telecom proprio a mio nome, e che puoi chiamare per verifica, la mia home page e’ molto piu’ “certificante” della tua ClaimId. Ovunque, se vedi on line una mail con la mia firma e sotto il mio Url, puoi sempre darmi un colpo di telefono, a un telefono che risulta intestato a me, e chiedermi se sono proprio io.Cosa semplificherebbe o cosa certificherebbe OpenID, a parte il fatto che – se diventasse ampiamente adottato, e ne dubito – potresti ricordarti una sola password per tutti i servizi on line che usi?Ciao, Fabio.http://xoomer.alice.it/fabio.metitieri

    Mi piace

    Rispondi

  9. Claudio,intanto grazie a te che hai contribuito a chiarire alcuni “fondamentali”.Il mio problema (visto dalla mia prospettiva) è semplice: Non reputo conveniente per un sistema di rete sociale/professionale adottare un sistema di autenticazione forte che, fra l’altro, sarebbe uno sbarramento per i meno smart.Quindi volevo giocare sulla “cultura digitale” come volano alla fiducia reciproca!Taht’s all

    Mi piace

    Rispondi

  10. Intanto ti ringrazio della citazione :) Continuo a capire poco il motivo per cui tu voglia spingere OpenID in un terreno che non gli compete. Il web of trust, di GPG-iana memoria, è una cosa così seria che, appunto, ha alla base una certificazione “forte” della persona (al momento dello scambio, fisico, delle chiavi è obbligatorio presentare un documento). Le complessità e le problematiche di un sistema di trust a più livelli (gli amici degli amici degli amici sono miei amici, ma non troppo) esula poi totalmente dagli scopi di openid. I sistemi per calcolare la valenza in rete di una persona, la sua autorità, ne è piena la rete, lo sai… ma è una quesione di numeri (come tu ne fai nel testo, appunto). Una volta che $personaX ha 500 punti, il fatto di dimostrare che TU sia $personaX è un altro problema (e, appunto, OpenID non lo risolve). Di per sé.

    Mi piace

    Rispondi

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...