OpenID Foundation ifrågasätter implementeringen av Logga in med Apple

OpenID Foundation har öppet ifrågasatt Logga in med Apple, en ny funktion i iOS 13 och macOS Catalina 10.15 som tillåter kunder att logga in på webbplatser och appar med deras Apple ID-konto utan att lämna ut personuppgifter, till exempel deras namn eller e-postadresser.

Det gör att användare av iPhone, iPad och Mac kan logga in på appar och webbplatser med deras Apple ID.

Användarna autentiseras med Face ID eller Touch ID medan de döljer sin riktiga e-postadress genom att Apple levererar en unik, slumpmässigt skapad iCloud-e-postadress bara för den ena appen eller tjänsten. Dessutom tilldelas varje utvecklare sin egen unika e-postadress, vilket innebär att du kan sluta ta emot oönskade e-postmeddelanden från alla deras appar och webbplatser med några kranar.

Den ideella organisationen har skrivit ett öppet brev till Apples chef för programvaruteknik Craig Federighi för att varna att även om systemet inte skickar någon personlig information till app- och webbplatsutvecklare, kan dess implementering sätta användarnas integritet och säkerhet i riskzonen.

Den nuvarande uppsättningen av skillnader mellan OpenID Connect och Logga in med Apple minskar platserna där användare kan använda Logga in med Apple och utsätter dem för större säkerhets- och integritetsrisker. Det lägger också en onödig börda för utvecklare av både OpenID Connect och Logga in med Apple. Genom att stänga de nuvarande luckorna skulle Apple vara driftskompatibelt med OpenID Connect Relying Party-programvaran som är allmänt tillgänglig.

Logga in med Apple använder OpenID Connect som en underliggande teknik, men den ideella organisationen driver nu iPhone-tillverkaren att anta OpenID Connect istället, ett "modernt, vidtaget identitetsprotokoll byggt på OAuth 2.0 som möjliggör tredjepartsinloggning till appar.

Organisationen säger att Apple skulle vara klokt att ta itu med skillnaderna mellan de två inloggningssystemen. De har också bjudit Apple till att bli medlem i OpenID Foundation. OpenID: s medlemmar inkluderar Google, Microsoft, PayPal och andra.

Logga in med Apple introducerades under 3 juni WWDC-keynote.

Här är Apples beskrivning av den kommande funktionen.

Apple introducerar ett nytt, mer privat sätt att enkelt och snabbt logga in på appar och webbplatser. I stället för att använda ett socialt konto eller fylla i formulär, verifiera e-postadresser eller välja lösenord kan kunder helt enkelt använda sitt Apple-ID för att verifiera och Apple kommer att skydda användarnas integritet genom att ge utvecklare ett unikt slumpmässigt ID.

Även i fall där utvecklare väljer att be om ett namn och e-postadress, har användare möjlighet att hålla sin e-postadress privat och dela en unik slumpmässig e-postadress istället. Logga in med Apple gör det enkelt för användare att autentisera med Face ID eller Touch ID och har tvåfaktorsautentisering inbyggt för ett extra säkerhetslager. Apple använder inte Logga in med Apple för att profilera användare eller deras aktivitet i appar.

Utvecklare har reagerat entusiastiskt på Logga in med Apple men vissa är inte nöjda med de officiella reglerna eftersom de förbjuder inbäddning av sociala inloggningsknappar för Twitter, Google eller Facebook utan att också ange en inloggning med Apple-knappen som ett alternativ.

Apples riktlinjer för mänskligt gränssnitt kräver att Apples knapp placeras ovanför alla andra inloggningsknappar. "Visa en logga in med Apple-knappen på ett tydligt sätt", läser ett utdrag ur uppdateringsriktlinjerna. "Skapa en inloggning med Apple-knappen i samma storlek som andra inloggningsknappar och undvik att få folk att rulla för att se knappen."

Överraskande berömde Googles produktdirektör offentligt Apples nya inloggningsknapp som ett bra steg i rätt riktning trots att den tävlar med Googles egen inloggningsknapp.

Jag tror ärligt talat att denna teknik kommer att bli bättre för internet och kommer att göra människor mycket, mycket säkrare. Även om de klickar på våra konkurrensknappar när de loggar in på webbplatser, är det ändå mycket bättre än att skriva in ett anpassat användarnamn och lösenord, eller mer vanligt, ett återvunnet användarnamn och lösenord.

Federighi sa att logga in med Apple är "ett enkelt sätt att logga in utan att spåra."