it-swarm-es.com

¿Cómo afecta el uso de OpenID a la seguridad de las aplicaciones web?

El uso de OpenID para autenticar usuarios crece en popularidad y, de hecho, hace que una aplicación web sea más fácil de usar.

Pero, ¿cuáles son las consideraciones de seguridad que se deben tener en cuenta al decidir si implementar un OpenID o no?

¿Es adecuado para cualquier tipo de aplicación web? ¿O existen categorías de aplicaciones web que no deberían utilizar esta forma de manejar la autenticación de los usuarios?

¿Está bien usar OpenID para aplicaciones de comercio electrónico?

23
rem

Creo que tiene sentido ofrecer registrarse a través de OpenId, pero no requerir, incluso para sitios web de comercio electrónico.
La razón de esto es que los usuarios conocedores de la tecnología (que siguen siendo la base de usuarios principal de openid) pueden decidir si tomar ese riesgo o no.

Los sitios que no recomendaría usar OpenId son sitios altamente sensibles, p. Ej. sitios bancarios o sistemas privados/corporativos en los que también desea controlar las identidades de los usuarios (como la identidad centrada en la empresa, en contraposición a la identidad centrada en el usuario).

Existe una clara ventaja de usar OpenId, ya que no es necesario administrar las identidades de los usuarios, incluidas las contraseñas, restablecimiento, seguridad, etc., y aceptar el riesgo que ello implica.

12
AviD

Cada proveedor de OpenID tiene una compensación de características de seguridad e inconvenientes. Por ejemplo:

Características

  • Google, Facebook, MyOpenID y Verisign ofrecen distintos grados de compatibilidad con dos factores. (Verisign es el más seguro en mi humilde opinión)

  • Todos admiten operación libre de Javascript (para usuarios paranoicos de seguridad)

  • Privacidad y anonimato mejorado con MyOpenID y LiveID (aunque no muchos otros)

  • Política de cambio de contraseña

  • Sello de inicio de sesión (Yahoo, ADFSv2)

Defectos

  • Muchos sitios no ofrecen la misma seguridad de encabezado HTTP como se documenta aquí . Esto significa que algunos sitios son más vulnerables a MITM, FireSheep, repeticiones de tokens o Clickjacking que otros sitios.

  • Realmente no hay coherencia entre los distintos sitios.

Y esto es sólo el principio. Tengo una publicación más detallada con muchos hipervínculos valiosos aquí . Allí, comparo todas las características de seguridad de los principales proveedores de OpenID y solicito a la comunidad cualquier otra característica o IDP que debamos considerar.

Si descubre un IDP con funciones de seguridad que no figuran en la lista, animaré a todos a que publiquen allí.

¿Es adecuado para cualquier tipo de aplicación web?

Yo diría que Verisign sería un nombre confiable para escenarios de mayor seguridad, asumiendo que el usuario final optó por todas las campanas y silbidos. No soy fanático de la configuración de sus encabezados HTTP (repetir enlace). Solo asegúrese de que su parte de confianza (sitio web) se proteja de las cookies repetidas del RP y de sesiones anteriores.

Si está usando Windows/IIS como parte de confianza, puedo enviar más información a su manera para protegerse contra los escenarios que menciono en el párrafo anterior.

Investigación adicional

Microsoft tiene un detallado documento técnico de problemas de seguridad de OpenID aquí . Envié un correo electrónico a los autores y lanzaron un analizador en http://sso-analysis.org/ la herramienta de análisis está disponible aquí: http://sso-analysis.org/aaas/ brm-analyzer.html

7

No creo que sea una buena idea usar openid para sitios web de comercio electrónico, pero está bien usarlo para sitios web de redes sociales y sitios web de información.

Las razones son:

  • No sabe qué tan seguro es el proveedor.
  • -
1
Mohamed

No usaría OpenID para nada por la sencilla razón de que simplemente no conozco bien su funcionamiento interno. En general, aunque diría esto;

Al subcontratar su gestión de acceso, se está preparando para una caída en caso de que ocurra algo con uno de los principales proveedores.

Digamos, por ejemplo, que Google decide comenzar a ser malvado y vende las contraseñas de sus usuarios a un tercero, ese tercero obtiene acceso a su sitio y hace cosas en nombre de los usuarios.

El usuario no se enojará con Google, se enojará contigo.

Y aunque en esta situación extrema tiene leyes que lo respaldan, no sé si tendría un caso si su información de usuario se filtrara de otras formas.

1
Toby