Creación de un sistema de inicio de sesión que preserve la privacidad
TL;DR:
La Fundación IOTA organiza una Solicitud de Propuestas (RFP) para desarrollar una solución de «Login with IOTA» (Loguearse con IOTA) basada en el Marco de Identidad de IOTA. Los seleccionados serán financiados a través del Fondo de Desarrollo del Ecosistema (EDF) para desarrollarla utilizando los estándares de la Fundación OpenID.
Hoy, la Fundación IOTA abre una Solicitud de Propuestas (RFP) para un sistema de inicio de sesión basado en IOTA y construido sobre los estándares de OpenID. La RFP invita a los desarrolladores o empresas a solicitar financiación para crear soluciones que combinen la identidad IOTA con los estándares de la Fundación OpenID de OpenID Connect (OIDC) y Self-Issued OpenId Provider (SIOP). Si son seleccionados, los desarrolladores o empresas serán financiados durante el diseño y desarrollo de los componentes de código abierto.
La tecnología propuesta permitirá a los sitios web aceptar los identificadores descentralizados (DID) de los usuarios como mecanismo de identificación y autenticación. Utilizando OIDC, los sitios web pueden añadir «Login with IOTA» junto a alternativas menos respetuosas con la privacidad como Google, Microsoft y Facebook. Más de 50.000 sitios web ya utilizan este sistema con más de mil millones de cuentas habilitadas para OpenID. Además, SIOP permite a los sitios web, con un poco de esfuerzo adicional, omitir cualquier infraestructura de inicio de sesión centralizada, permitiendo a los usuarios autenticarse directamente con el sitio web de manera peer-to-peer.
Estamos lanzando la RFP para animar a otros desarrolladores o empresas a participar en el desarrollo de herramientas de Identidad IOTA. Se pide a los solicitantes que presenten un plan, un presupuesto y otra información. Al final del proceso, la Fundación IOTA podrá financiar uno o más proyectos para ejecutar su plan a cambio de una compensación. Esta compensación se pagará en tokens IOTA del Fondo de Desarrollo del Ecosistema (EDF). El conocimiento existente de IOTA o de la identidad IOTA es un bono, pero no es necesario. Sin embargo, esperamos experiencia en el tema de OIDC.
¿Por qué queremos o necesitamos un sistema de «Login con IOTA»?
El auge del comercio electrónico, seguido de la Web 2.0, hizo que la web pasara de ser una colección de páginas con contenido estático a un lugar en el que los individuos interactúan con las empresas, las organizaciones y entre sí. De la mano de esta evolución creció la necesidad de autenticación en línea, lo que llevó a muchos sitios web a utilizar una combinación de nombres de usuario y contraseñas para crear cuentas locales para los usuarios. Aunque esta dependencia de «algo que se sabe» (es decir, las contraseñas) proporcionaba inicialmente suficiente protección, los sitios web que almacenaban esa información se convirtieron en objetivos vulnerables para ataques como el robo de identidad. Para combatir los ataques criptográficos, se introdujeron requisitos de complejidad, lo que llevó a la gente a reutilizar las contraseñas en todos los sitios web, debilitando de hecho la seguridad de los usuarios y de los sitios web. Estas y otras novedades supusieron una carga cada vez mayor para los sitios web a la hora de asegurar tanto los datos de los usuarios como su infraestructura y crearon una experiencia de usuario muy pobre y un entorno a menudo inseguro.
Con el tiempo, la experiencia del usuario mejoró a costa de la privacidad. Las cuentas de los usuarios se registraron de forma centralizada a través de proveedores de identidades federadas como Google o Facebook, lo que hizo posible que los proveedores compartieran información con los sitios web (con el permiso del usuario) sin que la información tuviera que ser introducida repetidamente. Desgraciadamente, esta solución también proporcionó a las grandes empresas tecnológicas un control aún mayor sobre los datos de los usuarios, ya que a los proveedores de identidad les resultaba relativamente fácil controlar la actividad de los usuarios en la web cada vez que éstos accedían a las cuentas gestionadas por los proveedores.
IOTA Identity permitirá a las personas recuperar el control sobre sus datos, al tiempo que añade funciones y experiencias beneficiosas a los sitios web. Nuestro objetivo es crear una situación en la que tanto los sitios web como los usuarios se beneficien del uso de un sistema de inicio de sesión basado en IOTA Identity, al tiempo que se elimina el poder de los proveedores de identidad centralizados.
¿Cómo funciona?
Con un inicio de sesión basado en IOTA, una cadena de caracteres aleatoria (como «did:iota:9rK6DPF46MCEzgfLD8AHFsaTuMqvmRo6kbXfjqJPJmC«) se convierte en tu Identificador Descentralizado (DID). Puedes demostrar la propiedad de tu identificador a través de la codificación asimétrica («algo que tienes»). Convenientemente, no tienes que recordar tu DID: tu cartera de Identidad Soberana (SSI) lo gestiona por ti. Los sitios web pueden utilizar el DID internamente para reconocerte sin tener que conocer un nombre de usuario o una dirección de correo electrónico. Pueden seguir solicitando tu información personal (como un nombre para mostrar o una dirección de correo electrónico), pero es tu decisión compartir esta información. Será responsabilidad del sitio web demostrar que necesita esta información de usted y explicar lo que obtendrá a cambio.
El sistema previsto que le permitirá compartir selectivamente su dirección de correo electrónico también le permitirá compartir otra información que normalmente tendría que proporcionar repetidamente, como su dirección, número de teléfono o fecha de nacimiento. La diferencia es que sólo tendrá que introducir esta información una vez en su monedero SSI, creando una experiencia mucho más fluida cuando visite los sitios web que permiten esta tecnología, al igual que con los proveedores centralizados. Pero en este caso, usted sigue teniendo el control total de los datos. Además, esto también le permite compartir información verificable utilizando el mecanismo de credenciales verificables (VC).
Con las credenciales verificables, no sólo puedes compartir información, sino que también puedes demostrar su validez. La información que compartes tendría que estar firmada por un tercero de confianza, como una agencia gubernamental o un banco, pero tú decides con quién compartes esta información.
Poder actuar con información fiable reduce el riesgo de los sitios web, especialmente en el sector del comercio electrónico.
Ejemplos de información verificada podrían ser:
- Rango de edad validado y firmado por su gobierno
- Prueba de residencia firmada por su proveedor de electricidad
- Prueba de fondos firmada por su banco
- Número de teléfono o dirección de correo electrónico verificados
- Un diploma o certificado firmado por su universidad
- Inicio de sesión en Web2
En la RFP, la Fundación IOTA fomenta el desarrollo de dos sistemas de inicio de sesión independientes: OIDC y SIOP. OIDC, que hemos denominado sistema de inicio de sesión «Web2», es el que la mayoría de la gente utiliza habitualmente. Botones como «Iniciar sesión con X» se ponen en contacto con el proveedor de identidad alojado centralmente para proporcionar su información a un sitio web.
IOTA Identity permitiría imitar el mismo flujo, permitiendo a los sitios web reutilizar la misma implementación y tecnología que ya están utilizando, al tiempo que se aumenta masivamente la privacidad. La arquitectura esbozada en la RFP significa que, en lugar de tener plena visibilidad y acceso a los datos personales, el proveedor de identidad centralizado actuaría como «participante ciego» y establecería una conexión entre el usuario y el sitio web siguiendo las normas de OIDC. En el futuro, esto eliminaría la necesidad de que los proveedores de identidad almacenen sus datos. En su lugar, enviarían las solicitudes de datos al usuario, donde el monedero SSI almacena y comparte los datos, dándole el control total. Esto sería el participante ciego perfecto, pero requiere una base de datos alojada por el usuario siempre en línea o que los datos sólo estén disponibles cuando el usuario esté en línea. Aunque el requisito de «usuario en línea» está bien para algunos casos de uso, podría limitar otros, por lo que esperamos que el proveedor de identidad no pueda ser perfectamente ciego al principio.
Una prueba de concepto para un inicio de sesión Web2 ya ha sido desarrollada por Daniel Mader, un activo colaborador del X-Team de Identidad de IOTA. Usando Keycloak y una extensión construida por él mismo, Daniel mostró cómo un sitio web podría aceptar un DID para la autenticación sin requerir ningún cambio adicional en sus sistemas internos. El increíble trabajo de Daniel se ha convertido en código abierto en GitHub y ha proporcionado una explicación detallada y una demostración de su PoC en una reunión del Equipo de XTeams de Identidad:
Web3 Login
El segundo sistema de inicio de sesión que buscamos está orientado a web3. Self-Issued OpenID Provider (SIOP) es un nuevo estándar en desarrollo por la OpenID Foundation que mejorará el sistema de inicio de sesión descrito anteriormente con aún más privacidad. Lo hemos bautizado como el sistema de inicio de sesión de tipo «Web3» y todavía está en fase de investigación. Este estándar permite una experiencia de usuario similar a la del inicio de sesión «Web2», pero sin necesidad de un proveedor de identidad centralizado.
SIOP permite a los usuarios autenticarse directamente de igual a igual con el sitio web sin tener que comunicarse con un componente centralizado. Después, el monedero SSI permite intercambiar VC y proporcionar cualquier información adicional que normalmente se solicitaría al proveedor de identidad. Aunque esta solución es superior en términos de privacidad, también requiere esfuerzos de integración por parte del sitio web, lo que probablemente dificulta la adopción masiva inmediata de la tecnología por el momento. Por lo tanto, para ofrecer soluciones a medio y largo plazo, la Fundación IOTA está interesada en soluciones Web2 y Web3 simultáneamente.
Cómo participar en la RFP
Cualquier persona o empresa puede participar en la RFP. A partir de hoy, la RFP está abierta para presentaciones hasta el 1 de abril de 2022. Por favor, lea atentamente la RFP y envíe una respuesta válida con toda la información solicitada a las direcciones de correo electrónico indicadas en la RFP. Si tiene alguna pregunta, puede ponerse en contacto con Jelle Millenaar a través de J[email protected] o en discord.iota.org en el canal #Identity.
Asegúrate de que tu presentación contiene una descripción de quién eres, tus experiencias con IOTA y/o OIDC y cuál es tu plan para el desarrollo de herramientas de código abierto para permitir un sistema de inicio de sesión basado en Web2 y/o Web3 con IOTA Identity. Además, siéntase libre de pasar esta RFP a cualquier parte que pueda tener la experiencia para proporcionar una solución, ya sea en los ecosistemas SSI, DLT u OIDC.
Acerca de la Fundación IOTA
La Fundación IOTA es una fundación global sin ánimo de lucro que desarrolla tecnologías descentralizadas de próxima generación para una nueva economía digital en un mundo conectado. Rediseña la forma en que las personas y los dispositivos se conectan para compartir información y valor, eliminando a los intermediarios. La Fundación colabora con un ecosistema global y con socios para investigar y desarrollar tecnologías que tengan un impacto sostenible en el mundo real. Juntos, están dando forma a una nueva economía digital, eliminando fricciones innecesarias y liberando el potencial humano.
En el centro de la misión de la Fundación se encuentra Tangle, su ledger distribuido abierto, sin sentimientos y altamente escalable. Diseñado para soportar la transferencia de valor y datos sin fricciones, el Tangle es una infraestructura DLT para aplicaciones Web3 y economías digitales. A diferencia de las alternativas a la cadena de bloques, Tangle permite añadir transacciones en paralelo; también presume de sus bajos requisitos de recursos, así como de sus transacciones rápidas y sin coste alguno, con finalización en cuestión de segundos. El token IOTA es la moneda nativa de la red IOTA. Se utiliza para transferir valor y datos y permitir los micropagos sin contacto.
Post original: https://blog.iota.org/request-for-proposals-login-with-iota/
