Najprv trochu pohľad do histórie a potom si dáme aj to poučenie, ktoré vysvetlí ideu z nadpisu.
Takže, na počiatku bol e-mailový účet. Vlastne každý užívateľ, ktorý to v čase pred webom 2.0 myslel s používaním internetu vážne si založil e-mailový účet. Prihlasovacie meno a heslo do e-mailu bolo prvým a na dlho jediným identifikačným párom, ktorý užívateľ internetu potreboval.
Potom sa človek dopracoval k ďalším službám, ako je IM a… To bolo asi všetko. Následne prišiel web 2.0 so svojimi webovými službami. Všetky vyžadujú registrácia a teda vám pridelia identifikačný pár. Ako? Nuž najčastejšie vám ich pošlú do vašej e-mailovej schránky. Tým sa vaše meno a heslo do e-mailu stalo postupným vývojom supermenom a superheslom.
Prípadne to prebiehalo tak, že na počiatku bol Gmail, potom Reder, potom Google Docs, potom… Prosto, na jeden identifikačný pár ste sa dostali u jedného majiteľa do všetkých jeho služieb.
Pohodlnosť matka pokroku
A teraz prichádza súčasnosť, kedy na jeden identifikačný pár, ktorý si vytvoríte u jedného majiteľa služieb, sa pomocou OpenID dostanete k službám u ďalších a ďalších majiteľov ďalších a ďalších služieb. Vyzerá to lákavo: Pomocou jedného identifikačného páru sa dostanete k svojim kontám na celom internete.
Keby len služby. Veď také OpenID používa bloguje.cz na identifikáciu pre komentujúcich. A ďalšie súčasné implementácie isto viete vymenovať.
By joining the OpenID movement, Google completes the trifecta and adds all of its Gmail users to the hundreds of millions of Yahoo and Windows Live accounts that can also be used as a single login for any Website that accepts OpenID. While Google is more than happy to become an issuer of OpenIDs, what is not so clear is whether it will accept other OpenIDs for people who want to sign up for Google services. Zdroj: Your Gmail Account is Now An OpenID
A teraz si predstavte, že vám toto jedno supermeno a superheslo niekto ukradne. Ste namydlený, keďže v prípade Google účtu je jeho súčasťou vaša e-mailová adresa roky používaná. A pod tou e-mailovou adresou sa skrýva schránka plná e-mailov. A z povahy OpenID vyplýva, že je to vaša identita aj na službách, ktoré ste jakživ nepoužívali. O ktorých ste jakživ nepočuli. Je to vaša identita v komentároch na blogu… Ani nedomýšľať na ktorom.
Preto sa mi absolútne nepáči, že sa z môjho Gmailového prihlasovacieho identifikačného páru stalo OpenID.
Phishing legálne a za bieleho dňa
Mnohé služby ponúkajú, že vám nájdu vašich priateľov, keď týmto službám umožníte siahnuť do svojich kontaktov vo svojej Gmailovej schránke. A ako inak, ako tým, že na na stránke služby zadáte to webového formulára svoje superheslo a supermeno do svojej e-mailovej schránky, ktorú spravuje celkom iný subjekt. Áno, umožníte robotovi prehľadať vaše kontakty. A možno aj celé správy, vrátane tých potvrdzovacích e-mailov, ktoré vám tých 124 web 2.0 sociálnych sietí naposielalo a obsahujú ďalšie a ďalšie autorizačné páry do ďalších a ďalších služieb o ktorých ste mali istotu, že ešte nie sú OpenID pozitívne.
Znakom phishingu je, že na podvrhnutej URL zadávate autorizačné údaje mysliac si, že sa prihlasujete do správnej URL. Ja sa naozaj nechcem na stránke zoho.com prihlasovať do svojej Gmail.com schránky. Vy áno? Ale nie je inej možnosti, len to akceptovať. To viete, je to free, je to zadarmo…
Áno, autorizácia pri použití OpenID prebieha kdesi na OpenID serveri. OK, ale ja mám na mysli tie služby, ktoré zdielajú informácie medzi jednotlivými službami a tak vytvoria reťaz vrámci ktorej je naozaj jedno, že ide prapôvodne o dáta vložené na gmail.com. A o reťazi je známe, že je tak silnáý ako jej najslabšie ohnivko.
Dobrovoľne nasilu
Viete, problémom celého tohto zjednocovania v mojich očiach je jeho virtuálny podoba. Keď vám ukradnú kartičku občianskeho preukazu, tak si to všimnete. Ak si z neho urobí niekto duplikát, tak s relatívne malou námahou viete dokázať, že originál bol v danom čase na úplne opačnom konci republiky. Že to prosto fyzicky nebolo možné.
Druhým problémom je vynútené používanie. Keď som si pred rokmi zakladal emailovú schránku, nesúhlasil som s tým, aby bol texte mojej e-mailovej adresy prihlasovacím údajom alebo názvom konta na nejakej debilnej web 2.0 službe v západnom Tichomorí. Oj veru nie.
Koniec hesla ako ochranného prvku
V prípade virtuálnych identifikátorov bola donedávna možnosť diverzifikácie. Mali ste do každej služby iné autorizačné údaje a tak škody z prezradenia boli relatívne malé. S ohľadom na dôležitosť údajov ste mohli zvoliť aj mieru komplikovanosti hesla, mieru zabezpečenia počítača, či mieru celkového používania danej služby.
Jedno supermeno a superheslo zabezpečujúce všetko je v prípade zneužitia grandióznym prúserom. Už len aby sa do tohto zjednocovania zapojili nejaké služby Health 2.0 a banky.
Mimochodom, všimli ste si, že ako v článku prechádza od minulosti do súčasnosti, tak už vôbec nepoužívam slovné spojenie ochrana heslom? Pretože do dát je cez rôzne API a OpenID taký prístup, že o akejkoľvek ochrane sa reálne nedá hovoriť. Leda tak o autorizácii či identifikácii, že niekto do daného konta vstúpil. A verte mi, čoskoro to budete vo svojej schránke vy tak nanajvýš v 50% prípadov. Všetko ostatné budú čumilovia z ostatných služieb.
Normálne by som tieto internety a openIDeti zakázal.
velmi racionalny pohlad. moznost zneuzitia existuje a najhorsie je, ako pises, ze clovek (zlodej) zrazu ziska pristup do sluzieb, o ktorych povodny majitel ani nemusi vediet.
nehovoriac o pristupe do google health (sice zatial len US), na ktore sa nevztahuju americke zakony o ochrane medicinskych udajov, kedze google to prachsprosto obisiel (a verte mu potom) a tym padom nie je pod dohladom.
Je ochrana pred tymto problemom naozaj tak jednoducha ako sa mi zda? Staci nebyt pohodlny… 😉
ono to supermeno a superheslo sa zadáva vždy na stránke OpenID providera, takže sa treba chrániť v prípade práve jedného servera (napr. Google), čo by SSL s certifikátmi malo slušne riešiť. Kritický je podľa mňa výber OpenID providera. A možno ešte kritickejší bod je pochopenie konceptu signle sign-on užívateľom, aby vedel čo robí a na čo si má dávať pozor.