Me he percatado de que soy usuario de casi un centenar de servicios: redes sociales, webmails, portales de empleo, delicious, twitter, noticias, wikis, proyectos open source, blogs, tarjetas de fidelidad, cine, clubs, etc. En todos estos servicios tengo una cuenta personalizada, en donde tuve que introducir mis datos personales, y en donde con el tiempo se han ido quedando desactualizados (me mudé de casa hace 3 años, y ahora cambio de cuenta de correo habitual), y en donde tengo un usuario y una contraseña distintos en cada servicio. Imaginaros tener que acordarme de todos los servicios a los que estoy suscrito, acordarme qué usuario utilizo, la contraseña y qué datos son correctos o incorrectos.
Este mundo conectado y tan dependiente de la tecnología, adolece de una carencia muy importante: la automatización de la identidad.
Imaginaros que me interesa darme de alta en una red social, o en un webmail, o en un portal de empleo. Debes crear la cuenta desde cero, introduciendo, uno a uno, todos los campos que solicitan, los cuales suelen ser muy comunes: nombre, apellidos, dirección, teléfono, correo electrónico... Los portales de empleo son una desesperación, pues cada uno solicita un formato de datos muy distinta, pero que en esencia son los mismos datos.
Si en lugar de introducir los datos manualmente, éstos pudieran ser leídos de un servicio de identidad centralizado, aparecerían ya completados. En el caso de los portales de empleo, los datos estarían suficientemente atomizados, y los consultaría y formatearía a su propio formato.
En lugar de tener que decidir un nombre de usuario (que puede ya ser utilizado por otro usuario), puedes usar el de tu identidad, el cual es único mundialmente (similar al openid). A la hora de utilizar un servicio u otro, utilizarías siempre el mismo usuario y la misma contraseña.
Otra ventaja de utilizar un servicio así es la actualización de los datos, pues éstos residen en el servicio de identidad, no en el del servicio de internet. Si cambias la contraseña, ésta es la que utilizarás en cualquier servicio de internet al que estés suscrito, pues la validación es contra el servicio de identidad, no contra la identificación del servicio de internet, el cual meramente atiende al evento de si es válido o no el usuario, y accede mediante dicho usuario. Si cambias de domicilio, o de teléfono, o de cuenta de correo, o de empresa, la información llegaría actualizada a todos los servicios de internet, ya que éstos consultan estos datos consultando al servicio de identidad.
Otro punto importante del servicio de identidad es que permite llevar un registro de servicios de internet a los que estamos suscritos, y a los que hemos autorizado para que realicen consultas a nuestros datos mediante nuestra identidad. Asimismo, podemos en un momento determinado desuscribirnos de un determinado servicio desde el servicio de identidad, en lugar de ir al servicio de internet concreto y darnos de baja de forma implícita, lo que a veces no se puede porque no encontramos esta opción.
Para que un servicio pueda usar nuestra identidad, por una parte hemos de autorizarlo, y por otra, el servicio de identidad debería tener registro de dicho servicio. Únicamente los servicios (o empresas) autorizados pueden utilizar el servicio de identidad, y sólo aquellos a los que, como usuarios, autorizamos el acceso a nuestra identidad, podrán acceder a la misma. De esta manera, se incrementa también la seguridad para el robo de datos, como está ocurriendo actualmente, y de la cual surge el spam, el pishing, la suplantación, etc.
Por otra parte, para mayor seguridad, el servicio de identidad solicitaría confirmación por parte del usuario para autorizar a un servicio de internet (o empresa de servicios) a utilizar nuestros datos para su uso. Es decir, si por ejemplo nos damos de alta en una red social, ésta no podrá consultar nuestros datos (ni nosotros usar su servicio), hasta que de forma implícita, a través del servicio de identidad, autoricemos la petición. De esta manera se evita que un servicio (o empresa) acceda a nuestra identidad sin autorización previa.
Para una empresa de servicios también es una ventaja a efectos legales, pues la ley de protección de datos afecta únicamente al servicio de identidad, salvo que la empresa de servicios realice copia de los datos del usuario, cosa que sería ilegal (de forma contractual, la empresa de servicios comprometería a no copiar los datos de los usuarios, tan sólo consultarlos bajo los protocolos de seguridad establecidos, y bajo las condiciones legales y jurídicas). Por otra parte, habría también un contrato de confidencialidad entre el servicio de identidad y el usuario.
La identidad es una cuestión crítica, y para preservarla, el servicio de identidad puede dar la opción al usuario de escribir en formato libre una o varias preguntas personales, con una respuesta que sólo el propio usuario conoce. De esta manera, la recuperación de contraseña es más segura que en la mayor parte de servicios, donde la pregunta es del tipo "¿cuál es el nombre de tu mascota?", o "¿cual es el nombre de soltera de tu madre?". Cualquiera cercano al usuario puede conocer estas respuestas, mientras que si haces una pregunta libre y personal como "¿En qué ciudad me encontraba cuando un perro se lanzó contra mi coche?", puede sólo conocerla el propio usuario.
Un servicio de identidad universal permitiría a un usuario tener la misma identidad para todos los servicios de internet que utiliza, y evitaría a éste introducir repetidamente sus datos en cada uno de estos servicios. Para las empresas de servicios de internet, no necesitarían registrar los datos de sus usuarios, los cuales son actualizados automáticamente, pues sólo hay un repositorio centralizado de datos (el servicio de identidad). Asimismo, la seguridad se incrementa, mitigando al máximo el robo de identidad, el acceso a los datos personales de forma no autorizada y la obtención de la contraseña por parte de otros. El usuario podría conocer la lista de servicios a los que está suscrito, autorizar o no a un servicio el poder acceder a su identidad, o eliminar o desuscribirse a un servicio.
AÑADIDO EL 30 DE JULIO DE 2010
A tenor de lo anterior añadiré mi experiencia en la cantidad de servicios que tengo dados de alta. En cada uno de ellos he introducir mi login y mi password (específicos), los datos del perfil son distintos, y, lo peor de todo, es que en algunos no me puedo ni dar de baja, pues no ha accesible enlace alguno para desuscribirse.
Con un servicio de identificación, utilizaríamos el mismo login para todos los servicios, el perfil de este servicio sería el que los otros servicios utilizarían (con lo que la información es la misma y actualizada), y si me quiero dar de baja de algún servicio, lo haría desde el servicio de identificación.