Я много читаю, пишу и беседую с пользователями о проблеме аутентификации в интернете. Недавно мне неожиданно пришлось сдавать экзамен на способность объяснить простыми словами суть федеративной аутентификации в Сети. Экзаменатор оказался очень строгим, это была моя жена.
Для профессионального музыканта моя жена обладает приличной компьютерной грамотностью. Неудивительно, если вспомнить, с кем она живет. Необходимость помнить множество имен и паролей для регистрации на сайтах раздражает ее так же, как и всех остальных. Когда она решила зарегистрироваться на LinkedIn, я заметил, что процедура регистрации, помимо создания локальной учетной записи, предусматривает возможность «зарегистрироваться через Facebook». Вот она, федеративная аутентификация, и вот она, однократная регистрация!
Я сразу осознал сложность стоящей передо мной задачи. Помня, что для подавляющего большинства пользователей аутентификация – это «лежачий полицейский» на пути к цели, каковой в данном случае являлась регистрация на LinkedIn, я должен был кратко объяснить жене, почему она должна позволить Facebook передать ее данные другому сайту. Ведь Facebook печально известен тем, что сначала автоматически нарушает общепринятую практику защиты конфиденциальности, после чего выступает с официальным оправданием. Я понимал, что если мне удастся ее убедить, но результат окажется неудачным, уговорить ее попытаться еще раз получится не скоро.
Быстро перебрав в уме возможные мотивы для использования учетных данных Facebook (федеративная идентификация и однократная регистрация), я остановился на двух. Во-первых, ей не придется содержать отдельную учетную запись LinkedIn. Во-вторых, хотя Facebook и передаст некоторые персональные данные, пароль Facebook передан не будет, так как LinkedIn связан с Facebook отношениями доверия. С определенной долей скепсиса она согласилась продолжить эксперимент. Правда, мне не понравилось, что Facebook был единственным вариантом поставщика удостоверений. Другие поставщики (например, Google) обычно передают проверяющей стороне (в данном случае, LinkedIn) лишь необходимый минимум информации, тогда как Facebook проявляет в этом отношении особую щедрость.
Когда моя жена выполнила регистрацию под своей учетной записью Facebook, открылось диалоговое окно с сообщением о том, что LinkedIn желает получить доступ к ее общему профилю, списку друзей, адресу электронной почты, истории трудовой деятельности, образовании и городе проживания. На этом эксперимент и закончился. Понятно, что передача всего, что только можно, вызвала у жены протест. Вполне резонно, что ей хотелось самой решать, какие утверждения Facebook может передать LinkedIn. Поскольку возможность выбора предоставлена не была (как и объяснение, зачем LinkedIn понадобилась данная информация), она отказалась от дальнейших действий.
Игра окончена
Сегодня в сетевом пространстве высшей ценностью стало доверие, которое в значительной степени подрывается, в частности, используемыми Facebook методами обращения с конфиденциальными данными пользователей. Безусловно, Facebook в этом не одинок, и если концепция федеральной регистрации (то есть «войти через») не станет абсолютно благонадежной и понятной пользователям, завоевание их доверия окажется очень сложной задачей. В частности, необходимы четкие пояснения по поводу того, зачем требуются определенные типы информации. Почему безопаснее использовать уже существующие имя и пароль, чем создавать новые? Зачем проверяющей стороне нужны конкретные объемы информации от поставщика удостоверений?
В данном случае ответ на неразбериху в сфере «облачных» удостоверений не должен содержать технических деталей. Достаточно будет небольшой зарисовки, такой как эта.