Comentaris a: Perquè no utilitzo OpenID

Per: bitsenbloc » Blog Archive » Perquè no utilizo openID

bitsenbloc » Blog Archive » Perquè no utilizo openID — Mon, 27 Apr 2009 20:48:07 +0000

[...] un temps vaig explicar perquè no utilizo OpenID. Degut a aquesta notícia m’he de refermar en la meva posició. Emprar OpenID o OAuth és [...]

Per: jmones

jmones — Sun, 12 Oct 2008 15:11:01 +0000

Acabo de veure que Verisign és provider i que pot oferir autenticació multifactor. Doncs, en la meva opinió, això, si els protocols d’autorització estan ben fets, sí que incrementa la seguretat.

De fet, però, OpenID és més aviat una excusa per federar serveis, no?

Per: jmones

jmones — Sun, 12 Oct 2008 15:01:54 +0000

Pere,

L’esquema d’un servei únic d’autenticació combinat amb un servei d’autoritzacions té l’inconvenient lògic que, si s’aconsegueix petar aquesta clau mestra, pot permetre l’accés a tota la informació d’un usuari a la vegada. Per contra identificar tan clarament el punt on hi ha la seguretat del sistema dóna la oportunitat de centrar molt més esforços en la seva seguretat. La reutilització de l’autenticació també fa més usable l’ús de dos o més factors d’autenticació (afegint claus asimètriques, biometria, etc).

No és el cas d’OpenID que, com tu dius, té una política de proveïdors d’identitat massa laxa. Però hi ha la possibilitat que aparegui un actor que decideixi ser només un proveïdor d’identitat per a OpenID amb més garanties.

Un esquema com el d’OpenID, però, permetria també actuar d’una forma més intel·ligent. Si un servei federat detecta que hi ha un possible atac, podria avisar als altres serveis perquè estessin alerta. O inclús es podria fer la detecció en base a les informacions combinades de tots els serveis (té sentit que nosaltres actuem simultàniament en 20 serveis si no ho està fent un script?).

Com tu dius, segregar les identitats, que imagino que és una cosa que també es deu poder fer si utilitzes OpenId presenta molts inconvenients, com el que tu dius. O que escapen més al nostre control: qui ens diu que la informació d’autenticació està ben gestionada? De fet, si les sessions on presentem contrasenyes no van xifrades, i moltes no hi van, ja hi ha una garantia: que la gestió és pèssima.

Per: àlex

àlex — Mon, 29 Sep 2008 00:23:34 +0000

Pere,
certament el tema de la seguretat i privacitat al món digital és complicat. Jo de tu optaria per una visió un poc més determinista del tema: ves-te fent a la idea que la seguretat 100% no existeix. És només qüestió del temps i les ganes que qualcú hi dediqui.
A tall d’exemple, on faig feina hi ha un departament que treballa temes de seguretat informàtica i ethical hacking. La setmana passada amb una adsl i un telèfon van tardar 12 hores en obtenir un usuari i una password vàlides per accedir a una intranet suposadament segura. I no van fer servir cap software maliciós ni atacs en sèrie: simplement la informació de facebook, gmail i linked-in i cinc telefonades d’una al.lota (és un fet: donen millors resultats que els homes) que es feia passar per usuària despistada.
Jo de moment, m’auto-engany pensant que a ningú li puc interessar tant com per perdre-hi temps. Que en som d’innocent,…

Per: Pere Quintana Seguí

Pere Quintana Seguí — Sun, 28 Sep 2008 21:15:04 +0000

Sí, Password Gorilla és una solució.

De totes maneres, he oblidat quelcom en la meva anàlisi.

Encara que s’emprin moltes contrasenyes, solem identificar-nos sempre amb la mateixa adreça de correu. I tots els serveis web que requereixen autenticació tenen un sistema de recuperació de la contrassenya via correu. És més, n’hi ha que empren “preguntes secretes” que no són gens segures, com ha mostrat el cas de Sarah Palin. Així doncs, per moltes contrassenyes que emprem, la nostra seguretat depèn molt fortament del compte de correu, així estem en una situació molt similar a la d’OpenID.

La seguretat és quelcom extremadament complicat. I, no és qüestió de “si”, és qüestió de “quan”.

Per: Manel Guerra

Manel Guerra — Sun, 28 Sep 2008 21:06:41 +0000

Parles d'Open ID, associat (de moment) al món web, però això és extensible a qualsevol lloc/programa que requereixi identificació (tant el problema com els teus arguments). Crec que vas ser tu mateix que vas parlar del Password Gorilla, que podria servir de bloc de notes criptogràfic...

Per: Oscar

Oscar — Sun, 28 Sep 2008 19:50:51 +0000

Molt bona anàlisi. Comparteixo el que exposes, els arguments són contundents.