Recientemente, OpenID ha ganado tracción como una forma de simplificar la gestión de las muchas cuentas web que tienen la mayoría de los usuarios de Internet. Con este aumento de la exposición, ha obtenido elogios para ahorrar tiempo y dar a los usuarios un mayor control sobre su identidad en línea. OpenID también ha planteado preguntas sobre su seguridad, y si representa un paso atrás que deja a los usuarios menos seguros. Los críticos señalan la naturaleza de “una sola pasada” de muchas implementaciones de OpenID, y argumentan que mantener todos sus huevos en una canasta se descide, por definición, se agrieta más fácilmente, ya sea un ataque de phishing contra su proveedor de OpenID o por una contraseña antigua o ataque de fuerza bruta.
Dejando solo el hecho de que varios proveedores de OpenID ofrecen características de seguridad adicionales, como verificación del teléfono y certificados SSL, todavía no estoy de acuerdo con la afirmación de que tener una cuenta principal para un grupo de sitios es necesariamente menos seguro. Los usuarios son libres de mantener múltiples cuentas de OpenID si lo desean, lo que limitará el pago de agrietarse en cualquier cuenta de OpenID. Aquí intentaré abordar los aspectos de phishing/personal de seguridad personal y de una sola pasarela del uso de OpenID.
phishing
A medida que OpenID obtiene una adopción más extendida, TI, TI, TI, TI Será el objetivo del aumento de los ataques de phishing. Nadie disputa esto, o el hecho de que tener un portal único para múltiples cuentas es un objetivo de phishing atractivo. El phishing ha sido un vector de ataque cada vez más común y ha aumentado en su sofisticación (como se muestra en esta lista de ataques populares desde 2006). Afortunadamente, la comprensión del usuario y la conciencia general también han aumentado, y los fabricantes de navegadores han trabajado para ayudar a los usuarios a identificar los ataques en progreso. Este regreso a la vuelta entre las fuerzas del bien y el mal ciertamente no va a terminar, y ser vulnerable a un cierto vector de ataque no será la muerte de cualquier tecnología nueva, ya que casi todo es vulnerable Para un ataque u otro.
En mi experiencia, un beneficio de una mayor adopción de OpenID ha sido que los usuarios cuestionen su seguridad en línea. A menudo, una persona descartará directamente la tecnología como insegura, pero una vez que la haya discutido, tendrá una mejor comprensión de OpenID en particular y su seguridad en general. Incluso si ese individuo decide no usar OpenID como parte de su gestión de identidad en línea, es muy bien informado al tomar la decisión, y siempre tienen la opción disponible si luego cambian de opinión.
Contraseña única
¿Cuántas cuentas web accede a diario? ¿Cuántos más cada dos semanas o cada mes? Cuando inicia sesión en veinte, muchas menos treinta o cuarenta cuentas diferentes, ¿cómo recuerdas todos los nombres de usuario/contraseñas?
– mantenga la misma contraseña para todo y nunca lo olvides o lo guarda? Un estudio de Accenture de 2008 señaló que el 88 por ciento de las 800 personas encuestadas tienen solo una contraseña en línea. Mala idea, amigos. Deméritos adicionales otorgados si el combo de nombre de usuario/contraseña se guarda en el navegador para evitar completar esa misma contraseña cada inicio de sesión.
– escríbalos, ya sea en un archivo separado (tal vez oculto o protegido) o con contraseña o contraseña o con contraseña o contraseña ¿En un trozo de papel que mantienes en tu escritorio? ¿Ofusiona la lista de sitio/nombre de usuario/contraseña para que sea más difícil que otra persona lo descubra? Si aceptamos los resultados del estudio del año pasado realizado por Accenture, casi la mitad de los usuarios de Internet en los Estados Unidos escriben sus contraseñas en algún formato.
– ¿Guardar la información en el administrador de contraseñas del navegador o del sistema operativo? Aquí hay otro enfoque de huevos en una cesta, y aunque puede requerir acceso a la máquina física, es concebible que esto pueda agrietarse a través de una exploit de navegador. ¿Están estos datos encriptados, por ejemplo con el Administrador de contraseñas de Firefox? Con una contraseña segura para la clave de cifrado, este puede ser un enfoque más fuerte que podría ayudar a reducir su vulnerabilidad si alguien gana acceso a su máquina. Sin embargo, el cifrado puede no ayudar durante una sesión de navegador, como generalmente el navegador lo “desbloquea” después de pedir la contraseña maestra al comienzo de una sesión.
– ¿No lo hagas y recuerdas a todos? En este punto, ¿qué tan compleja y variada es cada contraseña? Para sitios menos frecuentados, ¿cuántas veces vuelve a ‘olvidar la contraseña’ y tiene un correo electrónico sin cifrar e interceptable enviado que contendrá un enlace para restablecer la contraseña, si no la contraseña de texto sin consecutivo? Además, cada vez que se registra en un nuevo sitio ‘tienen una dirección de correo electrónico, y probablemente alguna variación de su esquema de contraseña, si no es una contraseña que ya usa en otra parte de la web.
desde en línea Identity Management es una combinación de conveniencia y seguridad, una combinación de los dos últimos enfoques funciona lo suficientemente bien para mí. Como tal, OpenID puede encajar en mi estrategia. Las cuentas bancarias, las contraseñas de OpenID y otra información obtienen contraseñas fuertes y únicas que nunca se guardan ni se escriben. (De hecho, con exploits recientes, puede ser mejor hacer toda su banca dentro de un navegador separado por completo de su navegador de uso general). Algunas otras cuentas no esenciales están encriptadas y guardadas en el administrador de contraseñas del navegador. Como se mencionó anteriormente, los proveedores como myopenid.com proporcionan opciones como un certificado SSL y/o una combinación de contraseña que aumenta la seguridad de su cuenta.
Confío en mi proveedor de OpenID para administrar múltiples cuentas porque solo sí solo lo hace. Una cosa: realizar un seguimiento de mi contraseña, que no da muchas aberturas para ser agrietadas. Su única responsabilidad (que se afirma con la parte que confía, luego validó mi identidad) está encriptada utilizando un protocolo abierto al que ambos lados deben adherirse. Incluso si no está utilizando https: // (y con la mayoría de los proveedores parece), los datos subyacentes se revuelven usando diffie-helman, que veo como suficientemente seguro para este propósito. Si usara otro proveedor que maneja una de mis otras cuentas en línea, como AOL (Instant Messenger), Yahoo o Google (que ya sabe todo sobre todos), sería porque ya confío en ellas hasta cierto punto con Mi información, como lo demuestra mi uso de sus otros servicios.
Si bien OpenID puede no ser más seguro que el correo electrónico/contraseñas individual, tampoco es necesariamente menos seguro. Con el bono adicional de la navegación web más conveniente y la creación de cuentas simplificadas, soy un defensor de la tecnología. Quiero ver a dónde va esto y cómo refinamos el modelo con el tiempo. Sus comentarios son apreciados.
