SLRP: simple login/registration protocol

29 lug 2006

FabrizioInternet No Comments

Oggi per usufruire di un qualunque servizio internet, sia gratuito che a pagamento, un forum, un blog, un sito per la webemail, newsletter, o qualunque altro servizio web è necessario registrarsi. fornire i propri dati personali, inventarsi uno username e una password. Questo meccanismo è necessario per far avere contenuti personalizzati e fare in modo che il sito web in questione possa identificarci personalmente.

Giorni fa stavo riflettendo sul numero di siti cui sono registrato: sicuramente quasi un centinaio. Gestire tutte le username e le password, diventa davvero onerso ed entrare in un sito dopo molto tempo specialmente, può diventare un problema: si dimentica la password, non si sa più dove la si è messa o scritta su un pezzettino di carta… Inoltre non tutti i siti hanno un reminder della password via email.

Man mano che il numero di registrazioni aumenta, aumenta con esso anche la complessità che l’utente telematico deve gestire; conseguenza: l’utente telematico è restio ad aprire sempre nuovi account. Lo sviluppo della rete ne soffre.

E se potessimo usare un unico username e password per tutti i siti cui siamo registrati ?

Ci vuole un protocollo sicuro, semplice e di veloce utilizzo, per l’autenticazione accessibile su internet. Su tutti i siti. Con un unica username e password.

I protocolli basati su connessioni sicure SSL inoltre garantirebbero anche la riservatezza della password verso il sito fornitore del servizio, a patto di ammettere nel giuoco l’intervento di un terzo soggetto: una Identification Authority, che svolge la stessa funzione delle Certification Autority per i siti web.

Ecco come potrebbe funzionare questo ipotetico SLRP (simple login/registration protocol):

  • Abbiamo un utente Mario Rossi e che ha come userid “mariuccio” e ha la passione del mandolino. Mario vuole iscriversi a tanti siti web fornitori di servizi e in particolare a www.mandolino.com.
  • Mario scegle una Identification Autority per il protocollo SLRP, e decide di farlo presso la www.BenRegistra.com. Va sul loro sito, fa la solita registrazione e gli viene assegnato un indirizzo email personale che è anche la sua userid SLRP: mariuccio@benregistra.com. In esso metterà tutti i suoi dati personali, molti di più di quelli che normalemente sono richiesti in una registrazione tipica.
  • Ora Mario deve registrarsi su www.mandolino.com. siccome questo sito supporta SLRP, ci sarà una form speciale per questo protocollo, che invece di chiedere username e password, viene solo richiesto di inserire la propria userid SLRP. Mario inserisce semplicemente: mariuccio@benregistra.com.
  • Il sito www.mandolino.com, riconosce il dominio benregistra.com come una Identification Autority e richiede a lei, via SSL, di registrare mariuccio@benregistra.com. Il trasferimento dei dati personali richiesti di Mario, da benregistra.com a mandolino.com avviene automaticamente non appena Mario ha autorizzato nel proprio account benregistra.com il sito mandolino.com ad essere abilitato alla registrazione e all’autenticazione: subito dopo che il sito mandolino.com ha inoltrato la richiesta, nell’account di benregistra.com il nostro Mario troverà scritto qualcosa del tipo “il sito www.mandolino.com ha richiesto la registrazione. Autorizzare?”. Non appena Mario autorizza, avviene il trasferimento dei dati personali e la registrazione è completata.
  • Ma il meglio deve ancora venire: ora tutte le volte che Mario Rossi deve identificarsi su mandolino.com, inserisce la propria username mariuccio@benregistra.com; questo causa istantaneamente il comparire di una pagina web (tipicamente pop-up window) che è però appartenente a benregistra.com la quale richiede di inserire la password (unica) del proprio account. Fatto questo il sito benregistra.com autentica l’utente via SSL direttamente a mandolino.com.
    Notiamo come mandolino.com non ha bisogno di conoscere alcuna password: gli è sufficiente che benregistra.com abbia firmato con il proprio certificato un “seme” prodotto opportunamente da lui stesso al momento della richiesta di autenticazione di Mario.
  • In questo modo Mario può usare il suo username mariuccio@benregistra.com su tutti i siti che supportano questo protocollo; non avrà bisogno di ricordare infinite password; non deve ricordare diversi username per ogni sito diverso.

Il protocollo, in sostanza è una triangolazione di connessioni SSL fra utente, Identification Authority e fornire del servizio. Questi due ultimi si identificano grazie agli usuali certificati https mentre l’utente si identifica presso la Identification Authority con la propria password. Quest’ultima conferma infine la identitià dell’utente al fornitore del servizio.

La tecnologia c’è: SSL e HTTPS sono ormai noti e consolidati. Bisogna “solo” definire e sviluppare nel dettaglio il protocollo. Ho fatto alcune ricerce in giro per la rete: pare nessuno abbia pensato ancora una cosa del genere. Ma cosa fa la IETF? dorme? qui ci vuole proprio un nuovo RFC

Leave a Reply

Immagine CAPTCHA
*