OpenID - czy to aby na pewno bezpieczne?
Dwa lata temu był wielki boom na technologie OpenID, wiele osób to zachwalało i namawiało, aby korzystać z jednego loginu i hasła, ale czy ktoś się zastanawiał czy to aby naprawdę było bezpieczne?
Dwa lata temu był wielki boom na technologie OpenID, wiele osób to zachwalało i namawiało, aby korzystać z jednego loginu i hasła, ale czy ktoś się zastanawiał czy to aby naprawdę było bezpieczne?
Wady i zalety
OpenID w skrócie to rozproszone uwierzytelnianie, a dokładniej - ma to rozwiązywać problem z wieloma loginami i hasłami do różnych serwisów internetowych np. blogów, sklepów itp. Zamiast nich mamy tylko jeden login i hasło do serwera OpenID, który to udostępnia nasze dane poszczególnym serwisom.
Wspaniała sprawa na pierwszy rzut oka. Zalet wiele przede wszystkim:
- Wygoda
- Zarządzanie naszymi danymi**** - wystarczy zmienić dane w OpenID i wszystkie serwisy z których korzystamy tę zmianę odczują. Co więcej wybieramy jakie dane w jakich serwisach mają być udostępnione.
Jednak są również dwie wady tego rozwiązania:
- Gromadzenie danych**** - przestępca wystarczy, że włamie się na serwer OpenID i ma dostęp do haseł, czy też numerów kart kredytowych tysięcy użytkowników.** **
- Kradzież tożsamości- gdy już przestępca dostanie nasze dane może się poruszać po wszystkich serwisach w jakich mamy założone konto. Co więcej, jako że logowanie jest na innej stronie ułatwia to phishing.
Czy jest sens używać OpenID?
Jeżeli nie zrażają Cię wady tego rozwiązania zastanów się jeszcze czy jest sens używać OpenID. Jeżeli korzystasz z jednego hasła, bądź dwóch czy trzech (jednak różniących się od siebie jedną literą, bądź cyfrą) nie ma różnicy w kwestii bezpieczeństwa czy będziesz używał OpenID czy nie.
Jeżeli przestępca będzie w posiadaniu Twojego hasła to i tak będzie miał dostęp do wszystkich serwisów w jakich masz konto. Dlatego nawet dla wygody czy dla sprawdzenia technologi warto skorzystać z OpenID.
Gdy używać różnych haseł i loginów do różnych serwisów zyskujesz oczywiście wygodę, ale moim zdaniem poziom bezpieczeństwa spadnie.
Przyszłość należy do OpenID?
Żyjemy w czasie, gdzie Internet staje się największym medium. Codziennie powstaje setki serwisów internetowych i mało kto spamięta swoje wszystkie unikalne hasła. OpenID wydaje się nieuniknione.
Google według najświeższych informacji ma zamiar wprowadzić usługę OpenID w Google Apps, natomiast od dawna możemy logować się w taki sposób w serwisie Blogger. Być może Google sprawi, że OpenID stanie się popularniejsze.
Wybór serwera
Gdy jesteśmy zdeterminowani do założenia sobie konta na serwerze OpenID musimy przywiązać bardzo dużą wagę do jego wyboru. Najpierw zastanówmy się czy wybieramy serwis polski czy zagraniczny?
Marcin Jagodziński, który stoi za pierwszym polskim serwerem OpenID.pl powiedział na początku 2007 roku, że będzie to rok OpenID. Sprawdziło się? Sami widzicie. Co więcej pierwszy polski serwer OpenID jest wciąż w fazie testowej od 2006 roku, a także:
[cytat]zabezpieczenie Twoich danych można określić jako "podstawowe"[/cytat]
O kolejnym polskim serwisie you.pl prawie nic nie można powiedzieć.
Wśród zagranicznych serwisów mamy spory wybór: claimid.com, myID.net, myOpenID.com, myvidoop.com czy pip.verisignlabs.com, które są z pewnością bezpieczniejsze od polskich odpowiedników, ale również popularniejsze.
Popularność wcale nie jest zaletą w tym przypadku, ponieważ taki serwis jest większą chrapką dla przestępcy.
Sami musicie podjąć decyzję o tym, czy warto skorzystać z usługi OpenID i jaki serwer wybrać. Mam nadzieje tylko, że będzie to wybór świadomy, a nie podyktowany modą czy przewidywaniami, że jest "będzie to rok OpenID".
