Bezpieczeństwo OpenID

Wraz ze wzrostem popularności OpenID i zapowiedziami kolejnych serwisów o planach jego wdrożenia, coraz więcej osób zastanawia się nad bezpieczeństwem takiego rozwiązania. Pytań rodzi się wiele i chyba nie wszystkie z nich doczekały się satysfakcjonujących odpowiedzi. Kiedy myślę o OpenID w kontekście bezpieczeństwa, przychodzą mi do głowy następujące tematy.

• Jedno hasło. Używanie tylko jednego loginu i hasła jest na pewno wygodne, ale niesie ze sobą rozmaite niebezpieczeństwa w przypadku, gdy osoby trzecie wejdą w posiadanie takiego hasła. Nie wnikam tu już w metody: czy użyją phishingu, odczytają je z ruchu naszych palców na klawiaturze czy z karteczki przyklejonej pod biurkiem. Jeśli wejdą w posiadanie naszego hasła, będą mieli dostęp do wszystkich naszych kont, które korzystają z naszej tożsamości – a to niesie poważne zagrożenia. To na pewno obniża bezpieczeństwo, ale ma znaczenie tylko jeśli naprawdę używamy różnych haseł do różnych serwisów. Jeśli mamy jedno hasło, którego używamy wszędzie, tak naprawdę niewiele się tu zmienia na minus – nie potrzeba OpenID, żeby użyć tego hasła w innych serwisach.
• Udostępnianie hasła. To kwestia istotna jeśli mamy zwyczaj używania tego samego hasła we wszystkich lub przynajmniej w wielu serwisach. Dzięki OpenID nie udostępniamy tego hasła wszystkim tym serwisom – jest ono znane tylko dostawcy usług OpenID. Dzięki temu jeśli z któregokolwiek z serwisów nastąpi wyciek danych (na przykład w wyniku włamania), możemy być pewni, że nasze hasło jest bezpieczne i nie zostało skompromitowane – i nie istnieje ryzyko nieupoważnionego dostępu do naszych kont w innych serwisach. To plus OpenID, mający jednak znaczenie tylko jeśli używamy tego samego hasła w wielu serwisach.
• Pojedynczy punkt awarii. Należy pamiętać, że jeśli usługi dostawcy OpenID będą z jakichkolwiek przyczyn niedostępne, nie będziemy mieli dostępu do żadnych kont opartych na naszej tożsamości. Poprzez niedostępność jednego serwisu (uwierzytelniania OpenID) tracimy dostęp do wielu innych serwisów. Przyczyny niedostępności dostawcy OpenID mogą być rozmaite i nie ograniczają się tylko do najbardziej oczywistej awarii u dostawcy. Wystarczy wspomnieć ubiegłoroczne trzęsienie ziemii na Tajwanie, które uszkodziło podwodne światłowody i odcięło wiele azjatyckich państw od reszty świata. Gdybyś był tam wówczas i używał dostawcy OpenID z USA, straciłbyś dostęp do wszystkich swoich kont – również w serwisach ulokowanych w Azji, do których miałbyś normalny dostęp, tylko nie mógłbyś się zalogować.
• Nie tylko hasło. OpenID niekoniecznie musi opierać się na klasycznym haśle. Możesz wybrać dostawcę OpenID, który przyśle Ci do domu token i autoryzacja opierać się będzie na hasłach jednorazowych. Jeszcze więksi paranoicy mogą stosować sumę kontrolną ze skanu linii papilarnych lub tęczówki oka. Możliwości są nieograniczone, gdyż metoda autoryzacji jest wewnętrzną sprawą dostawcy OpenID i nie jest narzucana przez żaden standard. Dzięki temu możesz zwiększyć bezpieczeństwo wszystkich usług sieciowych, z których korzystasz – zwykłych blogów, aukcji, forów internetowych, które obsługują OpenID – logując się do nich wszystkich na przykład hasłami jednorazowymi generowanymi przez jeden token, zamiast klasycznym, wielorazowym hasłem.