Критические Размышления О Технологии Openid.

Я хотел бы поделиться своими мыслями о набирающей популярность технологии OpenID. Если вы не знаете, что это такое, это есть на хабе.

столбец , описывающая принципы технологии.

Начнем с ситуации с хранением пользовательских данных, которая существует сейчас.

У вас есть пароли на почту, на форум, на Хабр, на Живой Журнал.

Варианты хранения: 1. Вы помните все свои пароли.

2. Вы записываете свои пароли в файл.

3. Вы доверяете свои пароли программе под названием «менеджер паролей».

Важная точка: Вам не обязательно доверять имена служб (URL-адреса) менеджеру.

Никто не знает, что вы используете менеджер паролей.

Никто не знает, какой менеджер паролей вы используете.

Вы доверяете только себе.

Второй вариант — вы доверяете своему компьютеру пароли.

Третий вариант – вы доверяете свои пароли сторонней специализированной программе.

Это автоматически означает, что вы доверяете разработчику программы.

В случае (1) и (2) несанкционированное использование ваших паролей является исключительно вашей ошибкой.

Данные могут быть потеряны только с вашего компьютера.

В случае (3) к возможной вине разработчика программы добавляется еще и ваша вина.

Пароли также можно «снять» с помощью его программы.

Мы помним, что помимо паролей на стороне пользователя существуют пароли (или производные от них) на стороне используемого им сервиса.

Сервисы имеют разные системы аутентификации.

Существуют различные уязвимости сервисов, которые позволяют получить доступ к вашей почте, аккаунту дневника и так далее.

Но не существует универсальных уязвимостей, позволяющих получить доступ сразу ко всем вашим аккаунтам.

Что предлагает технология OpenID? Фактически после регистрации на сервере OpenID у вас есть один мастер-пароль, который подходит для всех используемых вами сервисов.

Существует единый стандартный протокол, по которому сервисы обмениваются информацией с сервером идентификации OpenID. Единая система аутентификации находится на сервере OpenID. Сервер идентификации знает абсолютно все сервисы, на которых вы используете этот идентификатор OpenID. Сервер идентификации знает ваш главный пароль.

Службы доверяют этому серверу OpenID. Абсолютно все знают, какой OpenID-сервер вы используете.

Оказывается, вам нужно хранить только мастер-пароль (и желательно не на своем компьютере).

Вам не стоит беспокоиться – если ваш компьютер будет взломан (угнан), злоумышленники не получат доступа к сервисам, на которых вы зарегистрированы.

Если что-то случится, виноваты будете не вы, а сервер идентификации.

Но облегчит ли вам от этого задачу? Что вы можете от него потребовать? При использовании OpenID нужно стараться не думать, что не существует неуязвимых протоколов, сервисов и серверов.

Просто надо верить в обратное.

Идея, лежащая в основе этой технологии, безусловно, хорошая.

Но когда идея становится технологией, у нее есть своя сфера применения, свои плюсы и минусы.

Вопрос в том, насколько плюсы перевешивают минусы, чтобы сделать технологию стандартообразующей и/или универсальной.

И мы очень скоро узнаем, что будет на этот раз.

Теги: #OpeID #пароли #безопасность #услуги #информационная безопасность

• Исследуйте Неограниченное Разнообразие В Онлайн-Магазине Игр, Чтобы Повысить Уровень Удовольствия

  19 Oct, 24

• Uber Привлекает $1,2 Млрд При Оценке В $17 Млрд

  19 Oct, 24

• Dow Jones И Pearson Договорились Продать «Ведомости» Семье Демьяна Кудрявцева

  19 Oct, 24

• Apple Music: Не Пытаясь Скрыть Боль

  19 Oct, 24

• Скорость Кодирования Theora Vs Xvid

  19 Oct, 24

• «Любовь На Расстоянии». Сложности Удаленного Внедрения Ит

  19 Oct, 24

• Собственные Бренды Как Инструмент Выживания Бизнеса В Кризис: Опыт Аудиомании

  19 Oct, 24

• Радио-Т №74

  19 Oct, 24

• Установка Svn На Freebsd. Для Начинающих, Для "Чайников

  19 Oct, 24

• Задача Для Разработчика, Или Как Мы Прошивали Ручные Сканеры Без Вендора

  19 Oct, 24