Bitsenbloc

Conversant des de 2003

Perquè no utilitzo OpenID

OpenID és una tecnologia que pretén simplificar el problema de la gestió de contrassenyes i identitats a internet.

La tecnologia funciona de la següent manera:

  1. Qui vulgui pot esdevenir proveïdor d’identitat (cal saber configurar un servidor per a realitzar aquesta tasca).
  2. L’usuari crea una identitat amb un proveïdor amb el qual tingui confiança.
  3. Empra aquesta única identitat per a donar-se d’alta en els serveis d’internet que empra. La mateixa per a tots.

En principi, la idea sembla atractiva, però des del punt de vista de la seguretat no m’ho sembla gaire. OpenID et fa molt vulnerable. Si només tens una clau per a obrir-ho tot, el dia que aquesta es vegi compromesa, l’atacant tindrà accés a tot el que aquesta clau pot obrir. Així, si hi a un problema de seguretat en el teu servidor d’identitat, els atacants tindran accés a tota la teva informació personal. Cal recordar que, en informàtica, la pregunta no és si hi haurà problemes de seguretat, la pregunta és quan aquests problemes es manifestaran.

L’alternativa que em sembla més raonable és emprar una contrasenya diferent per a cada servei. Millor si la contrasenya és generada aleatòriament i és llarga. Aquesta via és, de molt, la millor. Sobretot, si tenim en compte que els navegadors et permeten desar les contrasenyes de manera xifrada (amb una clau mestra). En aquest cas, si algú té accés a una de les teves contrasenyes, només tindrà accés a un servei en qüestió.

L’inconvenient d’aquest mètode és que si canviem d’ordinador, no recordarem les contrassenyes. Però això és senzill de resoldre, per exemple, aputant les contrassenyes en un fitxer xifrat en una clau USB. Per això podem emprar, per exemple, TrueCrypt, que és senzill d’emprar i és multiplataforma. Però la cosa serà més fàcil quan surti Mozilla Weave, que ens permetrà sincronitzar tota la informació del nostre navegador Firefox, des de qualsevol navegador de manera segura.

Actualització: A la meva anàlisi (d’estar per casa) he oblidat quelcom: Encara que s’emprin moltes contrasenyes, solem identificar-nos sempre amb la mateixa adreça de correu. I tots els serveis web que requereixen autenticació tenen un sistema de recuperació de la contrasenya via correu-e. És més, n’hi ha que empren “preguntes secretes”, com a mètode de recuperació de la contrassenya, que no són gens segures, com ha mostrat el cas de Sarah Palin. Ja que les dades que es solen demanar, es poden trobar a la pròpia xarxa. Així doncs, per moltes contrassenyes que emprem, la nostra seguretat depèn molt fortament del compte de correu, així estem en una situació molt similar a la d’OpenID. Francament, la situació em preocupa.

Written by pqs

2008/09/28 a 7:56

Arxivat a articles

Tagged with

«
»

7 Respostes

Subscribe to comments with RSS.

  1. Molt bona anàlisi. Comparteixo el que exposes, els arguments són contundents.

    Oscar

    2008/09/28 a 10:50

  2. Parles d’Open ID, associat (de moment) al món web, però això és extensible a qualsevol lloc/programa que requereixi identificació (tant el problema com els teus arguments). Crec que vas ser tu mateix que vas parlar del Password Gorilla, que podria servir de bloc de notes criptogràfic…

    Manel Guerra

    2008/09/28 a 12:06

  3. Sí, Password Gorilla és una solució.

    De totes maneres, he oblidat quelcom en la meva anàlisi.

    Encara que s’emprin moltes contrasenyes, solem identificar-nos sempre amb la mateixa adreça de correu. I tots els serveis web que requereixen autenticació tenen un sistema de recuperació de la contrassenya via correu. És més, n’hi ha que empren “preguntes secretes” que no són gens segures, com ha mostrat el cas de Sarah Palin. Així doncs, per moltes contrassenyes que emprem, la nostra seguretat depèn molt fortament del compte de correu, així estem en una situació molt similar a la d’OpenID.

    La seguretat és quelcom extremadament complicat. I, no és qüestió de “si”, és qüestió de “quan”.

    Pere Quintana Seguí

    2008/09/28 a 12:15

  4. Pere,
    certament el tema de la seguretat i privacitat al món digital és complicat. Jo de tu optaria per una visió un poc més determinista del tema: ves-te fent a la idea que la seguretat 100% no existeix. És només qüestió del temps i les ganes que qualcú hi dediqui.
    A tall d’exemple, on faig feina hi ha un departament que treballa temes de seguretat informàtica i ethical hacking. La setmana passada amb una adsl i un telèfon van tardar 12 hores en obtenir un usuari i una password vàlides per accedir a una intranet suposadament segura. I no van fer servir cap software maliciós ni atacs en sèrie: simplement la informació de facebook, gmail i linked-in i cinc telefonades d’una al.lota (és un fet: donen millors resultats que els homes) que es feia passar per usuària despistada.
    Jo de moment, m’auto-engany pensant que a ningú li puc interessar tant com per perdre-hi temps. Que en som d’innocent,…

    àlex

    2008/09/28 a 15:23

  5. Pere,

    L’esquema d’un servei únic d’autenticació combinat amb un servei d’autoritzacions té l’inconvenient lògic que, si s’aconsegueix petar aquesta clau mestra, pot permetre l’accés a tota la informació d’un usuari a la vegada. Per contra identificar tan clarament el punt on hi ha la seguretat del sistema dóna la oportunitat de centrar molt més esforços en la seva seguretat. La reutilització de l’autenticació també fa més usable l’ús de dos o més factors d’autenticació (afegint claus asimètriques, biometria, etc).

    No és el cas d’OpenID que, com tu dius, té una política de proveïdors d’identitat massa laxa. Però hi ha la possibilitat que aparegui un actor que decideixi ser només un proveïdor d’identitat per a OpenID amb més garanties.

    Un esquema com el d’OpenID, però, permetria també actuar d’una forma més intel·ligent. Si un servei federat detecta que hi ha un possible atac, podria avisar als altres serveis perquè estessin alerta. O inclús es podria fer la detecció en base a les informacions combinades de tots els serveis (té sentit que nosaltres actuem simultàniament en 20 serveis si no ho està fent un script?).

    Com tu dius, segregar les identitats, que imagino que és una cosa que també es deu poder fer si utilitzes OpenId presenta molts inconvenients, com el que tu dius. O que escapen més al nostre control: qui ens diu que la informació d’autenticació està ben gestionada? De fet, si les sessions on presentem contrasenyes no van xifrades, i moltes no hi van, ja hi ha una garantia: que la gestió és pèssima.

    jmones

    2008/10/12 a 6:01

  6. Acabo de veure que Verisign és provider i que pot oferir autenticació multifactor. Doncs, en la meva opinió, això, si els protocols d’autorització estan ben fets, sí que incrementa la seguretat.

    De fet, però, OpenID és més aviat una excusa per federar serveis, no?

    jmones

    2008/10/12 a 6:11

  7. [...] un temps vaig explicar perquè no utilizo OpenID. Degut a aquesta notícia m’he de refermar en la meva posició. Emprar OpenID o OAuth és [...]

    bitsenbloc » Blog Archive » Perquè no utilizo openID

    2009/04/27 a 21:48


La possibilitat d'escriure comentaris ara està desactivada.