Nebylo by to úžasné, kdybychom měli v reálném životě jen jeden klíč od všech dveřích? Jeden klíč co by nás pustil domů, co by nastartoval auto a ten stejný k našemu sejfu v bance? Bohužel, je toto hudba budoucnosti alespoň co se reálného světa týče. Jaké by to ale bylo si to můžeme vyzkoušet pomocí OpenID.
OpenID je vlastně něco jako e-občanka a e-klíče v jednom. Představte si, že přijdete na novou sociální síť. Díky OpenID máte již přihlašovací údaje a ne jen to. Díky OpenID o vás tato nová sociální již ví údaje, které se s tímto webem rozhodnete sdílet, aniž byste museli vše zadávat znovu. Jak pohodlné že?
OpenID je jednoduše URL adresa, například www.mujweb.cz/deni. Hostitel našeho OpenID se postará o ověření, že uživatel, který se s tímto OpenID hlásí jsme skutečně my a vrátí požadované službě informace o úspěšném/neúspěšném přihlášení, společně s podepsaným klíčem. Tato služba již ví o nás vše potřebné, jako třeba jméno, příjmení a datum narození.
V dnešní době již existuje mnoho poskytovatelů OpenID, již není problém vybrat si slušného poskytovatele, který vám ZDARMA (všichni máme rádi věci zdarma, ne?), nabídne vaší OpenID identitu a rozumný způsob zabezpečeného připojování (SSL). Možná to ještě nevíte ale z 90% už máte alespoň jedno OpenID. Mezi poskytovateli, kteří vám ke svým službám poskytnou i OpenID je totiž například Google, Flicker, Yahoo, Blogger nebo dokonce sociální síť Myspace. Samozřejmě se poskytovatelem OpenID může jednoduše stát každý. Hezký návod si můžeme přečíst například zde. Nejznámějším poskytovatelem OpenID je v na českém internetu Seznam, který ke každému emailovému účtu také poskytuje OpenID identitu.
V dnešní době je již OpenID standartem na každém větším webu. Tedy všechny weby jako Google, Facebook, Yahoo!, Microsoft, AOL, MySpace nebo Seznam již mají přihlašování pomocí OpenID implementováno. OpenID je skvělé hlavně při objevování nových služeb, jelikož se do nich nemusíte složitě registrovat a potvrzovat váš email. Stačí jednoduché přihlášení na stránce vašeho poskytovatele a můžete službu naplno používat. Navíc již máte většinu informací o vás na nové službě naimportováno od vašeho poskytovatele.
Samozřejmě hlavní přednost je přihlašování se do různých webových aplikací pomocí jednoho jména a hesla. Výhoda je také v tom, že můžeme změnit informace jen na jednom webu a měli by se změnit na všech, kam se pomocí daného OpenID přihlašujeme. Toto bohužel ještě v dnešní době trošku pokulhává.
Je to zvláštní v této době, ale nikdo. Ani by asi nikdo neměl. OpenID vzniklo v roce 2005 nezávislou open source komunitou která se snažila vyřešit problém s globální identifikací na různých webových stránkách. V dnešní době může OpenID provozovat na svých stránkách úplně každý. Navíc každý se může stát bez jakéhokoliv potvrzení jeho poskytovatelem.
Jste-li provozovatelem webové služby. Umožněte svým uživatelům přihlašování pomocí OpenID. Ulehčíte jak sobě tak zvednete přitažlivost svých stránek. Nepoužíváte-li ještě OpenID tak začněte. Výhodu pocítíte téměř pokaždé, když po vás nová webová aplikace bude chtít váš email, věk nebo místo bydliště. Give it a try
To přirovnání ke klíči na začátku je naprosto přesné. Bohužel jste však nezmínil i další otázku, která by měla následovat po té motivační: "A jak by se vám líbilo, kdyby ten klíč měl v držení nějaký centrální správce, který by ho mohl rozmnožit, kolikrát by chtěl, a rozdat, komu by chtěl?"
Osobně si myslím, že používání OpenID je velice špatný nápad. Proti opovrhovanému ukládání hesel do prohlížeče má jen jedinou pochybnou výhodu, že totiž teoreticky může uživateli ušetřit registraci do nové služby (sice jsem ještě neviděl žádnou službu, která by se spokojila s existujícím User ID a nevyžadovala další údaje, ale teoreticky existovat může); proti tomu ovšem přidává obrovský single point of failure, který (narozdíl od toho ukládání hesel):
1) Obvykle není pod kontrolou uživatele.
2) Musí být přístupný z internetu, tudíž je z principu zranitelnější.
Před časem jsem (nejen) o OpenID psal seriál: http://zdrojak.root.cz/serialy/moderni-internetove-autentizacni-metody/
OpenID je pro mne absolutní nesmysl. Ztratit jeden klíč - nepříjemnost, ztratit jeden jediný klíč "od mého života" je definitivní průser. Tzn. nikdy bych nechtěl mít jeden jediný klíč na všechno. Osobně jsem se s různými zastánci OpenID mnohokrát bavil a nikdy mi nebyl nikdo schopen předložit argumenty, které bych byl schopen připustit jako přínosné. Pro mne nesmysl (a to se bavím jen o ideové stránce, praktická - viz. nástin v druhém odstavci příspěvku pepaka).
[1] OpenID je bezpečné. Sdílíte hromady informací bez mrknutí oka. Email s osobní korespondencí taky nemáte doma na mailu, nemáte vlastní jabber server, váš web taky neběží na vašem webserveru ve sklepě. (A pokud ano, tak nejste normální... uživatel). Výběr OpenID poskytovatele se nesmí podcenit, to ne, ale narozdíl od všeho výše zmíněného není nereálné si zřídit (a udržovat) OIDServer doma a informace sdílet jednodušše a bezpečně skrz něj.
Je jasné, že z hlediska bezpečnosti není řešením mít jediný účet na všechno. Ale mít jeden účet na komunikaci (email, IM, ...), jeden na každou kritickou aplikaci (banka, firemní loginy, ...) a jeden na všechno ostatní (i.e. OID) je dostatečné.
S velkým množstvím ulehčení přichází i určité riziko. Každý se musí už sám rozhodnout zda pro něj usnadněný čas a přidaná hodnota vyvažuje zvýšené riziko. Ke svému bankovnímu účtu nebo PayPal bych OpenID také nepoužila, ale idea, že bych mohla místo nesčetných registrací na stránkách, kam se chci sice podívat jen na jednu věc ale bohužel bez registrace neprojdu, mi přijde velmi příjemná. Vyměnila bych speciální e-mailovou schránku jen na registrační e-maily za jednotný účet, který by mi "odemkl" celý internet hned. Bohužel to není dostatečně rozšířené, to už je druhá věc.
A ke komentáři č.5 - Šance, že bych zapomněla přihlašovací údaje k účtu, který bych používala prakticky každý den mi přijde zanedbatelná, ale ani to není vyloučeno. Na druhou stranu speciální hesla která musím vymýšlet kvůli regulím některých stránek (např. z důvodu že neakceptují čísla v heslu, nebo musí mít maximálně X znaků) zapomínám dnes a denně.
[8] "Sdílíte hromady informací bez mrknutí oka" - Možná byste se divil.
"Email s osobní korespondencí taky nemáte doma na mailu" - Mám.
Mohl bych polemizovat i s dalšími věcmi, které podle vás nemám, ale to není podstatné. I kdybych je skutečně neměl, tak to nic nemění na jedné zásadní věci: Na žádném z daných míst nemám _všechno_, takže mě chyba nebo zlý úmysl na straně provozovatele jedné služby sice možná poškodí, ale nezničí.
Btw., byl bych ochoten se vsadit, že drtivá většina těchto služeb je bezpečenější než by byla drtivá většina takových "podomácku provozovaných" OpenID serverů.
OpenID je krásná věc, autoři nemají hamtavé úmysly a díky samotné podstatě protokolu ani majitel webu nepřijde o plnohodnotného uživatele (tedy získá jeho mail pro další komunikaci). Jenomže - v Čechách je OpenID zabito díky stupidně vyřešenému nástupu openid.cz (nic nefungovalo když vývojáři chtěli zkoušet) a jediný podporující je tady Seznam. Bohužel, u nás na webu OpenID používáme a v porovnání s FB Connect jsou čísla naprosto mizivá, i když bychom raději OpenID. Pro geeky fajn (tedy pokud někdo neuhodne heslo), ale ve světě to pomalu vypadá, že je dobojováno .(
[9]OK, jinak. OpenID chce implementovat NIC (http://jdem.cz/chtq6), což je podle mně dostatečně důvěryhodný poskytovatel, pokud jde o bezpečnost dat. Techie, který má doma spuštěný POP3 a SMTP server není běžný uživatel, ale mizivé procento a nemá žádnou vypovídající hodnotu.
Dále - proto, aby vás to "nezničilo" se vyplatí používat několik účtů - ve smyslu více než jeden - ne pro každou službu sólo.
Ohledně toho sdílení informací - dáváte je k dispozici např.: platbou za internet svému ISP, svému poskytovateli bankovních služeb, svému zaměstnavateli, ... A myslím, že vaše rodné číslo bude bezpečněji uloženo na serverech NIC.CZ, než založené v šanonu v kanceláři firmy. Pokud by skrz e-banking někdo zjistil komu jste odeslal peníze na účet a kolik, tak by to byla nebezpečná věc, to že si tyto údaje prohlíží pracovnice na poště pokud odesíláte peníze poukázkou, to nevadí.
Internetová bezpečnost se nesmí podceňovat, avšak se to s ní nesmí ani přehánět.
[11]FBC je k ničemu pro rozumné použití. Člověk nemá přímý přístup ke klientově emailu a ten proxy-email je tragédie - nedá se na něj ani odpovědět, nedá se přiložit příloha, ... k ničemu. Například pro registraci do e-shopu je to nepoužitelné, pro registraci ke komentářům ke článku možná :)
[12] - vo svojej argumentacii prehliadas jeden podstatny aspekt a to je 'DATA NA HROMADE'...
tu nejde o to ze niekto ide konkretne po tvojich datach(ak by isiel, tak sa mozes zahrabat kamkolvek a tie data si aj tak zozenu)
ale ide o to ze je moznost(podla mna celkom velka) ze tie data hromadne niekto ukradne, kupi.. a to je nebezpecne, nie to ze da niekto 5000CZK upratovacke v nemocnici aby prefotila konkretne tvoju zdravotnu kartu
napriklad par rokov dozadu 'sa zobrali' data zo Slovenskej poistovne - komplet mena, rodne cisla, cisla obcianskych preukazov, adresy , predmet poistenia
"..NIC, což je podle mně dostatečně důvěryhodný poskytovatel, pokud jde o bezpečnost dat."
len za posledny rok sa prevalilo tolko kradezi dat(cisla kreditiek, identit) od bank, od obchodnikov(myslim ze tam bol napriklad Wallmart) ze je naivne si mysliet ze NIC to ochrani naveky
[13]"...par rokov dozadu 'sa zobrali' data zo Slovenskej poistovne..." šak to jsem měl na mysli tím "Sdílíte hromady informací bez mrknutí oka".
Přikladem budiž to, že kdybyste měl skutečně strach o svá data apeníze, tak byste nepoužíval např. kreditku. Většina populace ji však stejně používá, protože mezní užitek z jejího používání je větší, než mezní ztráta v případě ejího zneužití.
A konkrétní detaily bezpečné implementace budou dílem trhu, na kterém bude po takových službách poptávka. Úplně vidím nějaké SecureOID, které bude fungovat na tom, že bude držet veškerá ta data někde přísně střežená a bude za ně ručit. Přihlášení bude nutné potvrdit druhým kanálem (opsáním kódu doručeného SMSkou, atp).
A nutnost nemít jediný OID na všechno od banky přes email a IM, jsem již zmínil, ale to patří snad k základním zásadám a není to žádná chyba OID.
Data na hromadě jsou prakticky současný stav. neznám žádného BFU, který by měl jiná hesla k mailu a bankovnictví (pokud to není vyžadováno - např. má heslo TEREZA a je vyžadováno písmeno, číslice a spec. znak). Takže získáním jednoho hesla získává útočník přístup ke všem ostatním. A v tomhle OID pomáhá, protože heslo není uloženo jednotlivě u každého poskytovatele (věřili byste, že některé eshopy mají furt hesla v plaintextu?!), ale na nepoměrně lépe zabezpečeném serveru OID poskytovatele.
Test
Přečteno 19 765×
Přečteno 16 015×
Přečteno 9 292×
Přečteno 7 118×
Přečteno 6 864×