Czy Sign In with Apple jest bezpieczne? OpenID Foundation ma wątpliwości

Podczas tegorocznej konferencji WWDC Apple zaprezentował Sign In with Apple. To uniwersalny mechanizm logowania, który może zastąpić logowanie Facebookiem i kontem Google. Podczas prezentacji ten system prezentował się zachęcająco, ale czy jest bezpieczny w szerszym kontekście?

Metoda logowania opracowana przez Apple to częściowa implementacja OpenID Connect i OAuth 2.0. Logowanie zostanie wprowadzone w systemach iOS 13 i macOS Catalina (powinny ukazać się we wrześniu). Sign In with Apple pozwoli zalogować się z użyciem Apple ID wszędzie tam, gdzie autorzy aplikacji umieszczą przycisk logowania.

Sign In with Apple pozwala ukryć prawdziwy adres e-mail przed usługą. Dla każdej z usług można wygenerować osobny, losowy alias. Jeśli usługa będzie zbyt nachalna, można w każdej chwili wyłączyć stworzony dla niej adres. Ten mechanizm pochwalił nawet Google, mimo że to bezpośrednia konkurencja.

Ponadto do logowania można użyć hasła do swojego Apple ID, autoryzacji twarzą (Face ID) lub odciskiem palca (Touch ID). Obsługiwana jest dwustopniowa autoryzacja, a profil nie jest wykorzystywany do śledzenia aktywności użytkowników w aplikacjach. W aplikacjach w App Store przycisk Apple'a ma być umieszczany powyżej innych i musi być obecny, jeśli aplikacja obsługuje logowanie dowolnym profilem społecznościowym.

Podczas WWDC Craig Federighi prezentował logowanie Apple'a jako „łatwe logowanie zapobiegające śledzeniu”. OpenID Foundation wysłała do niego list otwarty, w którym przestrzega przed potencjalnymi zagrożeniami i utrudnieniami. Fundacja zbadała i skrytykowała system firmy Apple.

Sign In with Apple używa systemu OpenID Connect jako podstawy, ale nie jest z nim w pełni zgodny. OpenID Foundation przedstawiła listę różnic między wzorcem i Sign In with Apple. W oczach analityków to spora wada. Jest to też utrudnienie dla programistów.

OpenID Foundation zachęca Apple, by w pełni zaimplementował popularny i nowoczesny OpenID Connect z OAuth 2.0. Apple powinien zdecydować się na pełną kompatybilność i certyfikację. W ten sposób zapewni użytkownikom możliwość logowania się przez Sign In with Apple w wielu usługach, które obecnie się na to nie zdecydują.

To z kolei pozytywnie wpłynie na bezpieczeństwo użytkowników. Obecnie najważniejsza jest redukcja ponownego wykorzystywania loginów i haseł.

Firma Apple została też zaproszona do przyłączenia się do Fundacji. Jej członkami są już Google, Microsoft, PayPal i wielu innych. Wizerunkowo byłoby to świetne posunięcie, ale wątpię, by Apple się na to zdecydował. Gdyby chciał się tym chwalić, pochwaliłby się już na WWDC.