Jeg har fx en konto hos myopenid.com, når jeg logger ind på en side første gang foregår det sådan her.

1) jeg indtaster mit openID på siden jeg vil logge ind på (lad os sige det er newz.dk).
2) newz.dk sender mig så videre til myopenid.com
3) her spørger myopenid.com mig så. "newz-dk vil have følgende oplysninger af dig" sammen med en liste af de oplysninger myopenid.com er igang med at sende.
4) Jeg trykker "giv tilladelse" og myopenid.com sender mig tilbage til newz.dk sammen med en besked om at "han er god nok" og newz.dk logger mig ind.

Hvad du er nervøs for her er vel at myopenid.com sender alle dine private oplysninger til newz.dk?

Det er heldigvis ikke en del af openid.com specifikationerne *hvilke* oplysninger der skal sendes tilbage til newz.dk så det må de enkelte udbydere af openid helt selv om.
myopenid.com har fx gjort det på den måde at du kan oprette lige så mange profiler du har lyst til.

Jeg har en standartprofil der indeholder alle mine oplysninger som jeg normalt bare bruger. Skal jeg imidlertid ind på en side der vil have e-mail, navn mm af mig, men som jeg ikke har lyst til at give ud vælger jeg bare en anden profil (som jeg passende har kaldt "random junk hoax") der bare indeholder en masse skidt).

Hvilke data du ønsker at sende til siden bestemmer du selv i "punkt 3" (jvf. min beskrivelse overfor). OpenID sikrer dig ikke mod hvilke data diverse sider vil have fra dig, men sørger for at de ikke ligger inde med dit password, og giver dig mulighed for at have samme login over det hele

NB: så er der mad og jeg gider ikke læse denne post igennem for uforståelige sætning og slavefejl

I youtube videoen fremhæver de at man ikke skal indtaste personlige oplysninger mere.. såsom email mm. men bare sige ja til at man stoler på siden...

Det indebærer da et kæmpe problem, hvis alle sider har alle ens rigtige oplysninger.. Og en søgning på ens navn i google ville vise alle de steder man har en profil... eller er det forkert..?

Jeg siger da netop til min datter, at man ALDRIG skal skrive sit navn, fødsels dato også vidre i disse profiler, da det ( som vi hørte med facebook ) kan misbruges..

Altarnativet er vel, at lave et personligt profil navn som f eks. kim(nogetdansk)hip og en kode med 8 ciffer og bogstaver, som så kan oprettes næsten alle steder. eller hvad??

Desuden er der slet ikke noget ønske om at kunne identificere alle brugere. Det er langt mere overvågning og kontrol, end vi ønsker og har behov for. På en side som newz.dk skal folk kunne være anonyme. Jeg respekterer langt mere de folk, der fortæller, hvem de er, men andre skal ikke fratages muligheden. Jeg tvivler på, at mange online community havde bare en brøkdel af deres størrelse, hvis man let kunne knytte ens online identitet til ens fysiske.

Igen mener jeg, at fordelen med OpenID er, at du selv vælger. Hvis du gerne vil identificeres med din digitale signatur, så kan du vælge (eller udvikle) en sådan tjeneste. Hvis andre bare vil skrive "secret" i et tekstfelt, så skal de også have lov til det. Du vælger selv, hvor sikker du vil være.

Der er mange måder at sikre, om det er fysiske brugere (reCAPTCHA, Bot Bouncer og Asirra er nogle af dem). Certifikater er ikke en af dem. Du kan ikke nøjes med at godkende digital signatur, fordi det kun er i Danmark, vi har dem. newz.dk har flere danske brugere bosat i udlandet, som din model ville udelukke. Her ville almindelige certifikater ikke sikre, at det var mennesker, og det ville ikke være en betydeligt sikrere løsning.

OpenID har ingen sikkerhed for at der er en fysisk person bag en bruger. I din løsning forsøger du at sikre dette med en sms verifikation hvilket i bedste tilfælde knytter et telefonnr på din bruger men dette kan jo være et taletidskort og derfor er der ingen information om den fysiske bruger. Ved den digitale signatur er brugeren verificeret med såvel email som cpr-nummer (og dermed også adressen). Der er derfor efter min mening langt stører sikkerhed for at brugeren er den han udgiver sig for ved en digital signatur.

For at nævne et eksempel har jeg på min egen tjeneste lavet, så man efter validering med brugernavn og adgangskode - mod betaling - kan modtage en SMS. Den indeholder en engangskode, der skal indtastes for at logge på. Jeg vil umiddelbart vurdere, at det er noget sikrere end et certifikat, men det er nok ikke noget, jeg kan forvente, at alle websteder ville implementere af sig selv - ligesom jeg ikke ville betro alle websteder mit mobilnummer.

Digital signatur har specielt den fordel at man har en virkelig person bag brugeren og dermed mindsker misbrug fra brugerens side.