Hoe gaat het eigenlijk met OpenID?
Een update over de stand van zaken van een OpenID voor de consument en online dienstverleners
Het is alweer drie jaar geleden dat Hyves bekend maakte dat alle Hyvers hun account als OpenID konden gebruiken om op andere website(s) in te loggen. Ondersteund door grote aanbieders als FaceBook, Google, Microsoft, PayPal zou OpenID de wereldwijde standaard worden om de consument van zijn grote hoeveelheid wachtwoorden te verlossen. Nu, 2012, maakt iedere consument nog altijd gebruik van veel verschillende wachtwoorden op verschillende website(s). Ondanks dat iedere consument het wachtwoordprobleem herkent en websites dagelijks wachtwoorden lekken, bieden weinig dienstverleners de mogelijkheid om je eigen identiteit te gebruiken om in te loggen. Tijd voor een update over de laatste stand van zaken en ontwikkelingen rondom OpenID, de mogelijkheid om je eigen identiteit te kiezen en hergebruiken op het web.
Deze gastblog is geschreven door Kick Willemse. Kick is identity expert, werkzaam als adviseur vanuit Evidos voor diverse online dienstverleners en bestuurslid van de internationale OpenID foundation.
OpenID, bring your own Identity (BYOID)
De ontwikkeling dat consumenten de mogelijkheid krijgen om hun eigen iPad, iPhone of laptop te gebruiken op het werk krijgt steeds meer aandacht. Deze ontwikkeling staat algemeen bekend als de “Bring your own device” (BYOD) ontwikkeling. OpenID staat voor een vergelijkbare ontwikkeling waarbij de consument de mogelijkheid heeft om zijn eigen online identiteit (OpenID) te gebruiken op het web (BYOID).
Oorspronkelijk is OpenID ontstaan als een techniek om eenvoudig een reactie op een blog te plaatsen. De bedenker, Brad Fitzpatrick, vond het handig als je niet bij iedere blogreactie opnieuw een registratie hoefde te doen. Al snel sloten grote partijen als Google, Microsoft en Facebook zich aan bij de technische standaard en werd OpenID hét merk dat staat voor het eenvoudig inloggen op websites met je eigen Identiteit. De internationale OpenID stichting ontwikkelt de technologische standaarden en promoot het gebruik van OpenID.
Waar is OpenID gebleven?
Ondanks de populariteit en opkomst in 2007 nam het enthousiasme en de buzz rondom OpenID langzaam af. Vanuit de community ontstond kritiek op het feit dat bijvoorbeeld Google wel OpenID provider wil zijn, maar zelf geen andere OpenID’s accepteert. Daarnaast tonen de OpenID providers liever hun eigen logo in plaats van het OpenID logo. Consumenten begrepen het invoeren van een OpenID URL als gebruikersnaam niet en website(s) vonden het complex om het eenvoudig te integreren in hun diensten.
Ondanks dat het OpenID logo langzaam van website(s) verdween gingen steeds meer websites wel de mogelijkheid bieden om met je Facebook, Google of PayPal account in te loggen. De onderliggende techniek is nog altijd gebaseerd op OpenID en aanverwante technieken zoals oAuth.
Belangrijk voor dit opvolgende succes zijn de aanvullende mogelijkheden van sociale netwerken en het delen van informatie met je vrienden of andere applicaties. Tegenwoordig kan je eenvoudig inloggen op bijvoorbeeld Spotify en AirBnB met één identiteit die je al hebt. Facebook Connect is verreweg de meest succesvolle implementatie met meer dan 250 miljoen logins per maand. De vraag is of iedere consument het prettig vindt om zijn identiteit door Facebook te laten beheren. Door de dominante positie van deze grote partijen, hebben consumenten nog altijd niet de keuze met welke OpenID ze willen inloggen.
Met de ervaringen van de verschillende OpenID aanbieders en online dienstverleners werkt de OpenID foundation aan twee verbeteringen voor 2012. Er wordt hard gewerkt aan de opvolger van de technische standaard; OpenID Connect en een oplossing voor de keuzeproblematiek van de OpenID provider met de Accountchooser.
OpenID accepteren op mijn website?
Door de behoefte om een betere relatie te hebben met bestaande gebruikers bieden steeds meer websites de mogelijkheid om je Facebook, Twitter of Google account te koppelen. Dit is waardevol vanwege de aanvullende gegevens die je als website krijgt over de gebruiker en om berichten te delen met zijn vriendennetwerk.
Toch zijn er ook andere voordelen om andere OpenID providers te ondersteunen, ondanks dat je niet gelijk de sociale voordelen krijgt.
Veel online webshops hebben er de afgelopen jaren voor gekozen om klanten de mogelijkheid te bieden om een online aankoop te doen zonder registratie. Funest vanuit het perspectief om een relatie met je klant op te bouwen, maar gedreven door het conversie verlies van registratie, e-mail verificatie en wachtwoord vergeten procedures.
Het hergebruik van je identiteit door een OpenID kan webwinkels helpen om toch eenvoudig een relatie op te bouwen met de klant, zonder conversie verlies. Het is niet voor niks dat de Thuiswinkel.org een oproep heeft gedaan voor de ontwikkeling van een OpenID voor online winkelen.
Als online aanbieder krijg je ook steeds vaker te maken met nieuwe kanalen zoals mobiel of televisie. Het belangrijk dat je met de bestaande manier om gebruikers te herkennen ook deze kanalen kan ondersteunen. Externe OpenID providers zijn hier beter in gespecialiseerd, waardoor gebruikers niet eerst een registratie op je website moeten doen, voordat ze van je mobiele applicatie gebruik kunnen maken. Aan de andere kant kun je zondermeer de OpenID technologie implementeren voor je eigen accounts.
Last but not least beschik je als online dienstverlener wellicht niet over de juiste kennis om wachtwoordbeheer op een goede wijze te organiseren. Met het accepteren van een OpenID is het opslaan van wachtwoorden niet meer nodig en voorkom je het risico dat deze gegevens in verkeerde handen komen.
Is dit waardevol voor de consument?
Het gebruik van wachtwoorden
Iedere consument worstelt met zijn wachtwoordbeheer. Ondanks de verschillende suggesties en tips om een goed wachtwoord te bedenken, zijn er in de praktijk twee type gebruikers. Gebruikers die voor iedere website een ander wachtwoord bedenken en dit op een lijstje bijhouden en gebruikers die hetzelfde wachtwoord gebruiken op diverse websites.
De eerste groep baalt ervan als de browser het wachtwoord niet vooraf invult op basis van “wachtwoord onthouden” feature of wanneer ze moeten inloggen vanaf een andere PC of Mobiel. Tenslotte moet je dan op je lijstje controleren wat dat moeilijk wachtwoord ook weer is. De verleiding is dan groot om toch een wachtwoord te kiezen dat je makkelijk kunt onthouden. In de praktijk heeft de grootste groep gebruikers een aantal favoriete wachtwoorden die ze standaard gebruiken op verschillende websites.
Veiligheid
Hackers kennen ook dit gedrag en gaan steeds vaker op zoek naar websites die hun wachtwoordbeheer niet goed georganiseerd hebben. Op basis van de gegevens die ze daar eenvoudig achterhalen proberen ze toegang te krijgen tot zoveel mogelijk andere website(s). In sommige gevallen om bijvoorbeeld je vrienden of andere contacten om geld te vragen, omdat je zogenaamd ergens op reis gestrand bent.
Wanneer een dergelijke hack bekend is, is deze groep consumenten erg druk om te bedenken op welke websites ze deze gegevens gebruikt hebben. Met een race tegen de klok moeten deze gegevens dan zoveel mogelijk gewijzigd worden.
Wie beheert je wachtwoord?
Een OpenID geeft gebruikers de mogelijkheid om een identiteit vanaf een centrale plek te beheren. Uiteindelijk kies je als gebruiker voor de manier waar of bij wie je deze OpenID wilt beheren. De keuze is afhankelijk van wat een gebruiker belangrijk vindt. Kies ik voor Google, een regionale aanbieder, een overheidsmiddel of beheer ik liever mijn eigen OpenID? Gebruikersgemak, vertrouwen, kosten en eventuele verzekering bij verlies spelen hierbij een mogelijke rol. Het is belangrijk dat er eenvoudige oplossingen zijn die goed te gebruiken zijn voor de doorsnee internetgebruikers. Diverse partijen zoals banken, telecom, verzekeraars, Apple en Google kunnen hier mogelijk een rol spelen.
Afhankelijkheid
Het centraal beheren van je identiteit levert mogelijk risico’s op, omdat je dan erg afhankelijk bent van dit account. In de praktijk zal je dus wellicht een aantal OpenID’s hebben om niet afhankelijk te zijn van één oplossing. Het geeft je echter ook de mogelijkheid om deze OpenID beter te beveiligen dan alleen een wachtwoord, bijvoorbeeld via aanvullende maatregelen als een code op je mobiel of biometrie.
De volgende keer dat een website vraagt om een wachtwoord, vraag je dan af of deze website in staat is om je gegevens op een goede wijze te beschermen, zo niet, vraag ze waarom ze niet de mogelijkheid leveren voor het gebruik van een OpenID.
Conclusie
De ontwikkeling om je eigen identiteit mee te brengen (BYOID) en gebruiken op het web heeft zich in de afgelopen jaren verder ontwikkeld. Primair gedreven vanuit de aanvullende sociale interactie die partijen als Facebook, Twitter en Google hierbij bieden.
OpenID biedt de verschillende technologieën om het hergebruik van een identiteit steeds beter mogelijk te maken, waarbij OpenID providers het belangrijk vinden om hun eigen merk te promoten. Op basis van de marktontwikkelingen is de verwachting dat consumenten steeds vaker hun eigen OpenID zullen meebrengen als ze van een online dienst gebruik willen maken.
Als online dienstverlener is het belangrijk om je voor te bereiden op de mogelijkheden om OpenID’s te accepteren. Wellicht gedreven door de vraag van je gebruikers, maar ook omdat er diverse voordelen aan verbonden zijn voor een betere online dienstverlening en klantrelatie.
Afbeelding: Chris Hartman (cc)
Onder deze gastblogaccount schrijven auteurs die geen blogger zijn van Marketingfacts. Heb jij een blog die je wilt delen, of wil je graag blogger worden, stuur dan een tweet of mail naar de redactie.
De reden dat ik zelf webwinkels en andere inlogmogelijkheden koppel met Twitter en Facebook is dat ze meer informatie en toegang verkrijgen dan dat ik zou willen.
En mocht er iets gehackt worden dan is niet meteen alles open bij gebruik van verschillende wachtwoorden.
Wat niet wil zeggen dat het geen goede ontwikkeling is, echter het privacy aspect vind ik nog een probleem.
Heb het zelf ook meegemaakt, en het is geen pretje….