מחשבות לגבי OpenID
בעולם שבו הזהות הדיגיטלית שלנו הפכה להיות אחד הנושאים המרתקים והמובאים למרכז הבמה עוד ועוד ישנם פיתוחים רבים אשר מטרתם היא לשפר את התנועה שלנו ברשת בעולם הדיגיטלי ולהקל על הפעולות היומיומיות שאנו מבצעים אונליין.
אחת הדרכים המרתקות יותר שתופסות יותר ויותר כותרות לאחרונה היא OpenID.
מדובר בעצם בתשתית הומוגנית מקוונת אשר אמורה לאחד את כל השירותים אליהם אנחנו ניגשים , כגון חשבון הדואר האלקטרוני שלנו , חשבון הFacebook שלנו, חשבון הDIGG , וממשיכה לכיוון חשבון הבנק שלנו וכדומה.
הרעיון - לבסס זהות אחת בעלת אימות חזק ( ככל הניתן בסביבה אינטרנטית פתוחה ) ולאפשר לאדם להשתמש במספר שירותים מירבי תוך שימוש בזהות אחת ( אגב , זוכרים ? פעם היה נסיון נחמד בשם Microsoft Passport שלא כלכך הצליח ) .
למעשה , אם קוראים קצת את המסמכולוגיה וטכנולוגיה המרכיבה את התשתית ( ה Framework ) אפשר לראות שכחלק מהקונספט , החלק שמבצע את האימות הינו הדפדפן שלנו , כלומר שמירה על כמה שיותר SSO שאפשר .
אני אישית , רואה פה בעיה חמורה.
מעבר לדברים הברורים - שאם משתמש ישמור על חשבון הבנק שלו כמו שהוא שומר על חשבון האימייל שלו , אז אנחנו נכנסים לעידן חדש של סייברטרוריזם שבו גניבת זהות הופכת לכבדה יותר - בעלת משקל רב ובעלת השפעה חסרת תקדים ( סתם דוגמא : דמיינו מנכל אשר משתמש בתוכנת IM האהובה עליו , ובזכות כך , משתמש הבנק שלו נפגע , והמידע הרגיש של אותה חברה יכול להיפגע ).
אני מחפש את האלמנט הנוסף . האם ייתכן שיחול מהפך של Full Disclosure על מידע פרטי ?
הסיבה שאני מסתכל על הדברים בצורה כזו היא , שאם מחר משתמש מעוניין לחפש מידע בגוגל , ולאחר מכן להשתתף במכירה פומבית , ולאחר מכן לקרוא אימייל , האם קיום הOpenID לא מאפשר ברמה מסויימת ליצור כלי ניטור על פעילות פרטית , על גבי הרשת הציבורית ?
הקלות של הפעלת התקפות Phishing היא בלתי נסבלת בהקשר זה, האם ייתכן שברגע שאני נכנס לארגון אשר מחליט ( שימו לב : נבואה ... ) ליישם OpenID במערכות המידע הפנימיות , האם גם מערכות הERP ומערכות הCRM הופכות להיות נגישות ?
החברה החדשה בקרן OpenID והמשמעותית ביותר בעיני היא VERISIGN אשר מהווה את אחד הCA החשובים והמרכזיים היום בעולם. האם אוכל עכשיו לזייף הזדהות חכמה בעקבות כך שהתעודה המונפקת לי מוצמדת לOpenID ? האם עכשיו כאשר יאבדו או יגנבו פרטי זהות , תיפתח גם התעודה של אותו משתמש ?
יותר מידי שאלות...
Labels: consulting, issues, technology, threats
אני דווקא רואה היבט כמעט הפוך: אתר אחד יכול ליפול קורבן להתקפת פישינג, או לשגיאה שתאפשר גניבת session. דווקא לתת לגורם אחד ויחיד את הגישה לזהות שלך, יכול לאפשר לי לבחור את מי שפתרון הזהות שלו הכי מוגן. myopenid.com למשל, כבר מציעים תעודות SSL המותקנות בדפדפן. יש חברה שברח לי איך קוראים לה, שמאמתת את המשתמש לפי תמונות בנושא מסויים. אימות דרך SMS, או מסנג'ר, cardspaces מאפשרים, למעשה , להבטיח שאף פורץ לא יוכל לפרוץ את כלל הזהויות. זה יאפשר להיות יותר זהיר בצורה הרבה יותר נוחה.
Posted by GuruYaya Make Music | 11:29 AM
מה הקשר לסייברטרוריזם? צריך להיות יותר זהירים כשמשתמשים במונח הזה.
מעבר לכך, מסכים עם החששות שלך. זהו לא נסיון ראשון לבצע דבר כזה (אני חושב שהפספורט של מיקרוסופט אולי הכי נפוץ בהקשר זה) אבל הגדולה בפרוייקט היא השת"פ בין כמה ענקים שאולי עשוי להניב כיוונים חדשים ומאובטחים לשם שינוי.
אישית אני מאמין שרק ת.ז. חכמה שתהווה אמצעי הזדהות חזק תוכל להוות פתרון אמיתי לאיחוד זהויות והזדהויות בעתיד. כל היתר זה משחקים.
Posted by Anonymous | 7:43 AM