No verão de 2008, quando estávamos criando o Stack Overflow, escolhi os logins OpenID por motivos documentados em O mundo realmente precisa de mais um nome de usuário e senha?:
Sei que o OpenID está longe de ser uma solução ideal. Mas, no momento, o problema de um login por site é tão ruim que estou disposto a aceitar essas compensações para uma solução parcial pior é melhor solução. De forma alguma eu colocaria minhas credenciais bancárias em um OpenID. Mas também há dezenas de sites para os quais não preciso de nada que se aproxime remotamente da segurança de nível bancário, e uso esses sites com muito mais frequência do que meu banco. O dor coletiva de lembrar todos esses logins — e a maneira como minha caixa de entrada de e-mail se torna um ponto de coleta de fato e gateway de segurança para todos eles – é substancial.
Sempre me incomodou muito o fato de o todos os sites de pouca importância na Internet exigiam que eu criasse um nome de usuário e uma senha especiais só para eles. Sim, se o senhor é um geek alfa, provavelmente usa uma combinação de software especial e chave USB do seu cinto de utilidades para gerar nomes de usuário e senhas seguros para as dezenas de sites que o senhor frequenta. Mas para a grande e silenciosa maioria dos normais, que não sabem nada sobre segurança, mas desejam conveniência acima de tudo, isso significa uma coisa: usar sempre o mesmo nome de usuário e a mesma senha. E é provavelmente uma senha simplestambém.
Esse é o status quo da identidade na Internet. Ele está profunda e fundamentalmente quebrado.
Mas não precisa ser assim. Se o senhor abrir sua carteira (ou bolsa, ou bolsa de homem, ou o que for), aposto que encontrará uma variedade de credenciais que o senhor usa para comprovar sua identidade onde quer que vá.
A carteira média contém algumas formas diferentes de identidade com forças variadas:
- Forte: Carteira de motorista da Califórnia, carteira de estudante
- Moderado: cartões de crédito, cartão de seguro de saúde, assinatura de locadora de vídeo, cartão de academia
- Fraco: Cartão Albertson’s Preferred, cartão Best Buy Rewards Zone, cartão de fidelidade do café
(e, às vezes, até cartões para lapdances gratuitas, aparentemente)
No mundo real, não temos regularmente duas dúzias de formas de identidade como esperamos que as pessoas tenham na Web. O senhor não estaria apenas carregando o carteira Constanza Nesse ponto, seria insano. No mundo real, conseguimos, de alguma forma, sobreviver com cerca de duas ou três formas fortes de identidade, complementadas por algumas outras formas mais fracas, a gosto do senhor.
Estou propondo que nossas carteiras na Web comecem a imitar nossas carteiras físicas. Sempre que um site precisar saber quem eu sou, ele deve pedir para ver minha carteira de motorista da Internet.
Agora, eu não literalmente significa literalmente uma carteira de motorista. Estou usando esse termo figurativamente para me referir a credenciais on-line que posso reutilizar em mais de um lugar na Internet. Se tudo o que quero fazer é deixar um comentário em um blog, por exemplo, este aqui — então uma das formas mais fracas de identidade certamente servirá. Se eu estiver abrindo uma nova conta bancária ou configurando um perfil em um site de relacionamentos, talvez seja necessária uma credencial mais forte da minha carteira virtual.
O conceito central com o qual os usuários precisam se acostumar é fazer login em um site mostrando uma credencial de terceiros para validar sua identidade. Essa ideia não é tão maluca quanto parecia em 2008. Em quantos sites o senhor pode fazer login mostrando suas credenciais do Facebook, Google ou Twitter hoje em dia? Muitos!
Toda a situação da identidade on-line pode parecer tão impossível quanto a paz no Oriente Médio neste momento. Mas, ao se deparar com um problema que parece intratável, a solução é levantar as mãos, abraçar o status quo sem pensar e suspirar cansativamente “O que o senhor vai fazer?”
Algumas pessoas fazem isso. É um direito delas. Pessoalmente, prefiro ser a mudança que quero ver. Portanto, para nós, no Stack Overflow e no Rede Stack Exchange, isso significa que promover agressivamente o conceito de carteira de motorista da Internet. Incluindo a educação dos usuários conforme necessário.
Por exemplo, considere este caixa eletrônico. Para usá-lo, Preciso abrir uma conta no Shanghai Peking Development Bank? Não. Posso usar qualquer forma de credenciais confiáveis de terceiros suportadas pela máquina.
Da mesma forma, para fazer login no qualquer site do Stack Exchange, incluindo o Stack Overflow, apresente qualquer provedor de identidade compatível com OpenID ou OAuth 2.0 como sua carteira de motorista da Internet.
Quando fundamos o Stack Overflow, partimos com a missão explícita de tornar a Internet melhor. Adicionar mais um nome de usuário e uma senha sem sentido à estrutura da Web não a torna melhor. O que o faz tornar a Internet melhor é a busca contínua por formas melhores, mais simples e reutilizáveis de identidade on-line de terceiros.
É por isso que peço aos senhores que se juntem a mim para apoiar OpenID, OAuth 2.0e quaisquer outras implementações promissoras da carteira de motorista da Internet.