Password Anti-Pattern & MyNameIsE!

Zaterdag 18 April 2009 om 13:48

Het is alweer bijna twee jaar geleden dat ik uit m'n slof schoot tegen Facebook vanwege hun vraag om mijn emailadres en wachtwoord tijdens de registratie. Destijds keken sommige vrienden me aan alsof ik compleet paranoïde was geworden. De meesten haalden hun schouders op en vonden het geen biggie. Een jaar later luidde ook Jeff Atwood de alarmklok en, may I say, in minder vriendelijke bewoordingen dan ik had gebruikt. Blijkbaar sloeg hij de juiste toon aan, of was de omvang en reikwijdte van het probleem nu voor mensen duidelijk - hoe dan ook, de reacties waren nu duidelijk alerter.

Er is ondertussen ook een naam voor deze praktijk: Password Anti-Pattern. (Meer weten? Zoek op Google en je vindt voldoende leesvoer.) Password Anti-Pattern is een uitermate onveilige en eigenlijk onverantwoorde manier om beveiligde data toch te kunnen benaderen. Denk aan Hyves, die je Hotmail of Gmail gebruikersnaam en wachtwoord vraagt om te kijken of er mensen in je adresboek staan die al lid zijn van Hyves, zodat je ze snel kunt toevoegen als 'vriend'. De wens om die gegevens te benaderen is heel begrijpelijk en an sich niet per definitie misplaatst, maar als er íets is dat we als ontwikkelaars moeten willen in deze tijd, waarin het leven zich steeds meer online gaat afspelen, is dat wel: mensen bewust maken van (en opvoeden in de omgang met) de security en privacy issues die deze nieuwe online realiteit met zich meebrengt.

Ik zeg bewust niet 'virtuele realiteit', want de online realiteit is op zoveel manieren gekoppeld aan de fysieke realiteit dat er weinig virtueels meer aan is. Een beveiligingsrisico in de 'virtuele' omgeving van het Internet heeft heel reële consequenties in de 'echte' wereld. Data-integriteit en het beschermen van je identiteit, zowel on- als offline, zouden daarom topprioriteit moeten zijn. Mensen aanleren dat ze een login en password van de ene dienst zomaar aan een andere dienst geven staat daar haaks op. Daarmee breng je niet alleen die mensen, maar ook de verdere ontwikkeling van deze diensten in gevaar. Immers, als het een paar keer mis gaat zal de consument (terecht!) kopschuw worden. Anno 2009, met OAuth en OpenID vrijwel alom beschikbaar, is met een beetje geluk het einde van deze oliedomme praktijk in zicht.

Des te verbaasder was ik dat TheNextWeb's Rising Sun Startup Rally winnaar MyNameIsE! zonder blikken of blozen in de password anti-pattern valkuil trapt, nota bene om auto-friending mogelijk te maken. Een security-issue introduceren om een privacy-issue te faciliteren. Juist van MyNameIsE! zou je dat niet verwachten: het bedrijf is immers de maker van de Connector (een zakelijke variant van de Poken) en loopt daarmee voorop in het overbruggen van de kleine kloof die nog resteert tussen on- en offline.

De kracht van die 'nieuwe online realiteit' bleek toen ik mijn ongenoegen via een tweet in het wereldwijde web spuide en binnen enkele minuten een reactie kreeg van Andreas Creten, Lead Online Development en API Evangelist bij E, het bedrijf achter MyNameIsE! (zie kader, berichtjes van beneden naar boven lezen). To the point en vriendelijk, een goed voorbeeld hoe je prima kunt communiceren in 140 karakters. Maar belangrijker: uit zijn reacties bleek dat beide issues op de nominatie staan te worden getackeld. Dat is goed nieuws en daar wacht ik dan maar even op, voor ik dit - verder prachtige! - initiatief verder omarm.