OpenID在政府内部的应用
Posted: Sat Jan 25, 2025 5:37 am
OpenID 与电话银行和 DigiD 一样安全吗?
OpenID 实践ITSec的Christiaan Roselaar(照片)解释了 OpenID 的安全性以及实施它时应考虑的事项。
不存在所谓的安全,在实施任何系统时,都需要考虑您想要保护什么、存在哪些风险以及您愿意接受哪些风险。
他提到了该协议及其实现的一系列问题,其中许多问题并非 OpenID 特有的,而是任何在线身份验证方法的问题,有些甚至是整个互联网的问题。 OpenID 是一个开放系统,任何人都可以按照自己想要的安全级别来实现,因此对于 OpenID 没有什么可说的。有些人认为这是一个弱点,但同时它也是一个优势。
一个相关问题是,您的 OpenID 提供商知道您何时登录哪些站点,并且可以关联和使用该信息。这对于像 Google 这样的玩家来说很有价值,也是他们提供 OpenID 的一个有趣的原因。
OpenID 也容易受到网络钓鱼的影响,但几乎每个 Web 表单和网站都容易受到这种情况的影响。因此,这并不是什么新鲜事,也不是 OpenID 特有的,但它是需要注意的事情(也是 OpenID 社区正在努力的事情)。
此外,还出现了这样的论点:自由并不存在,因此不应被信任。在荷兰,关于开源和开放标准时经常提到这一论点。显然,荷兰的商业精神不希望提供不需要付费的有价值的东西。在自由的生态系统中,有价值的东西是为了换取非货币价值而创造的,或者通过其他交付或广告来货币化。克里斯·安德森 (Chris Anderson)在他的《免费》一书中详细介绍了免费的动态和权衡。
大多数 OpenID 提供商现在都是免费的。任何愿意的人都可以建立付费提供商并保证更高级别的安全性。这就是开放联合技术的优势。
授权在社区最终负责且免费的开放系统中,不存在商业界传统上理解的补丁和漏洞管理之类的东西。在这方面,当然是要承担责任的。例如, OAuth (相关技术)中的一个安全漏洞最近通过松散的开发人员和公司团体的广泛合作(在Read Write Web上进行了描述)得到了快速修复。这并不是无私地发生的,因为每个提供帮助的人都对存在一个开放且安全的在线授权系统感兴趣,每个人都可以信任这个系统。
Rosendaal 提出了一个很好的观点:OpenID 的主要驱动力是便利性,而便利性往往与安全性相矛盾。 OpenID 通常用于对关联价值相对较小的网站上的帐户进行身份验证,并分发简单的数据,例如姓名和地址、性别和出生日期。此类事情(尚)不需要双因素身份验证。为了方便起见,OpenID 和当前的实现目前就足够了。一旦它被更广泛地使用和部署用于更敏感的数据,安全级别将必须相应提高。 OpenID 为此提供了便利,但明智地从一开始就没有强制执行。
提到OpenID,人们很快就会想到DigiD。政府的身份系统,偶尔使用(大多数人可能只能从年度纳税申报表中知道)。 Roselaar 随后展示了一个现场演示,他使用XSS 攻击来破解 Beverwijk 市政府网站上的 DigiD 表单并检索输入的用户名和密码。因此,商业实施者和封闭标准并不能保证安全。
无论如何,结论是100%安全并不存在,事物不会自发地变得安全。信条是:计划-实施-检查-行动。
Hyves 分析 OpenID
来自 Hyves 的Yme Bosma进行了演讲,其中解释了实施过程以及 Hyves 支持 OpenID 的动机。
OpenID 实践
真实姓名和强身份在网上变得越来越普遍,但这一切都必须真正用户友好且简单。他举了新的 Hyves 登录 Mysteryland 的例子,这非常简单,并且有 50% 的人使用。
Hyves 主要将 OpenID 用于 Hyves 内已经可见且相对静态的数据。人们非常需要在其他网站上使用 Hyves 上的个人数据和朋友。正如Timan 还写道的那样, Hyves 很快将支持 OpenSocial 的 REST API。然后,社交数据可以在支持该 API 的所有站点之间互换。
对许多人来说有趣的是,Hyves就像 Facebook 一样,很快也将接受来自其他网站的 OpenID。
OpenID 实践Leon Kuunders 举例说明了如何在政府内部应用 OpenID。在他的演讲中,他深入探讨了中央政府如何运作的细节以及身份管理的需求。
OpenID 的最大优点之一是用户名和密码的替换。人们现在可以使用 OpenID 登录并交换正确的数据,而不是提前生成每个服务并将其分发给每个人。这转移了责任并提供了很多易用性和实施性。
OpenID 的优势在于它是一个简单的协议,并且有足够的开源代码可以快速实现它。
国家消费者身份倡议
Paul Brackel 最后提出了消费者 ID 的国家倡议,该倡议应该成为市场消费者身 哥伦比亚WhatsApp 数据 份的相关倡议。问题是这是否有必要以及会发生什么,但我祝他好运。
结论
OpenID 实践
总之,您可以说 OpenID 产品现在终于到位,并且它是广泛使用的重要基础。我认为,部分由于此类事件解释了 OpenID 的优点和缺点并介绍了业务案例,OpenID 将在不久的将来在荷兰起飞。
您在活动期间确实注意到,在线身份格局相当割裂,并伴有语言混乱和半冲突。还有许多其他身份标准在各处实施,并且防火墙内可能发生各种各样的事情,但 OpenID 是广泛使用且每个人都可以参与的开放网络的标准。这使其具有可持续性并为未来做好准备。
今天的另一个重要观点是,在易用性和安全性之间存在着强烈的权衡。如果没有易用性,就不可能有安全,因为用户不知道该做什么并且行为不安全,或者因为他们为了更简单的产品而放弃了不易使用的安全产品。面临的挑战是让技术安全专业人员与用户体验设计师合作,创建有吸引力且安全的解决方案。
OpenID 实践ITSec的Christiaan Roselaar(照片)解释了 OpenID 的安全性以及实施它时应考虑的事项。
不存在所谓的安全,在实施任何系统时,都需要考虑您想要保护什么、存在哪些风险以及您愿意接受哪些风险。
他提到了该协议及其实现的一系列问题,其中许多问题并非 OpenID 特有的,而是任何在线身份验证方法的问题,有些甚至是整个互联网的问题。 OpenID 是一个开放系统,任何人都可以按照自己想要的安全级别来实现,因此对于 OpenID 没有什么可说的。有些人认为这是一个弱点,但同时它也是一个优势。
一个相关问题是,您的 OpenID 提供商知道您何时登录哪些站点,并且可以关联和使用该信息。这对于像 Google 这样的玩家来说很有价值,也是他们提供 OpenID 的一个有趣的原因。
OpenID 也容易受到网络钓鱼的影响,但几乎每个 Web 表单和网站都容易受到这种情况的影响。因此,这并不是什么新鲜事,也不是 OpenID 特有的,但它是需要注意的事情(也是 OpenID 社区正在努力的事情)。
此外,还出现了这样的论点:自由并不存在,因此不应被信任。在荷兰,关于开源和开放标准时经常提到这一论点。显然,荷兰的商业精神不希望提供不需要付费的有价值的东西。在自由的生态系统中,有价值的东西是为了换取非货币价值而创造的,或者通过其他交付或广告来货币化。克里斯·安德森 (Chris Anderson)在他的《免费》一书中详细介绍了免费的动态和权衡。
大多数 OpenID 提供商现在都是免费的。任何愿意的人都可以建立付费提供商并保证更高级别的安全性。这就是开放联合技术的优势。
授权在社区最终负责且免费的开放系统中,不存在商业界传统上理解的补丁和漏洞管理之类的东西。在这方面,当然是要承担责任的。例如, OAuth (相关技术)中的一个安全漏洞最近通过松散的开发人员和公司团体的广泛合作(在Read Write Web上进行了描述)得到了快速修复。这并不是无私地发生的,因为每个提供帮助的人都对存在一个开放且安全的在线授权系统感兴趣,每个人都可以信任这个系统。
Rosendaal 提出了一个很好的观点:OpenID 的主要驱动力是便利性,而便利性往往与安全性相矛盾。 OpenID 通常用于对关联价值相对较小的网站上的帐户进行身份验证,并分发简单的数据,例如姓名和地址、性别和出生日期。此类事情(尚)不需要双因素身份验证。为了方便起见,OpenID 和当前的实现目前就足够了。一旦它被更广泛地使用和部署用于更敏感的数据,安全级别将必须相应提高。 OpenID 为此提供了便利,但明智地从一开始就没有强制执行。
提到OpenID,人们很快就会想到DigiD。政府的身份系统,偶尔使用(大多数人可能只能从年度纳税申报表中知道)。 Roselaar 随后展示了一个现场演示,他使用XSS 攻击来破解 Beverwijk 市政府网站上的 DigiD 表单并检索输入的用户名和密码。因此,商业实施者和封闭标准并不能保证安全。
无论如何,结论是100%安全并不存在,事物不会自发地变得安全。信条是:计划-实施-检查-行动。
Hyves 分析 OpenID
来自 Hyves 的Yme Bosma进行了演讲,其中解释了实施过程以及 Hyves 支持 OpenID 的动机。
OpenID 实践
真实姓名和强身份在网上变得越来越普遍,但这一切都必须真正用户友好且简单。他举了新的 Hyves 登录 Mysteryland 的例子,这非常简单,并且有 50% 的人使用。
Hyves 主要将 OpenID 用于 Hyves 内已经可见且相对静态的数据。人们非常需要在其他网站上使用 Hyves 上的个人数据和朋友。正如Timan 还写道的那样, Hyves 很快将支持 OpenSocial 的 REST API。然后,社交数据可以在支持该 API 的所有站点之间互换。
对许多人来说有趣的是,Hyves就像 Facebook 一样,很快也将接受来自其他网站的 OpenID。
OpenID 实践Leon Kuunders 举例说明了如何在政府内部应用 OpenID。在他的演讲中,他深入探讨了中央政府如何运作的细节以及身份管理的需求。
OpenID 的最大优点之一是用户名和密码的替换。人们现在可以使用 OpenID 登录并交换正确的数据,而不是提前生成每个服务并将其分发给每个人。这转移了责任并提供了很多易用性和实施性。
OpenID 的优势在于它是一个简单的协议,并且有足够的开源代码可以快速实现它。
国家消费者身份倡议
Paul Brackel 最后提出了消费者 ID 的国家倡议,该倡议应该成为市场消费者身 哥伦比亚WhatsApp 数据 份的相关倡议。问题是这是否有必要以及会发生什么,但我祝他好运。
结论
OpenID 实践
总之,您可以说 OpenID 产品现在终于到位,并且它是广泛使用的重要基础。我认为,部分由于此类事件解释了 OpenID 的优点和缺点并介绍了业务案例,OpenID 将在不久的将来在荷兰起飞。
您在活动期间确实注意到,在线身份格局相当割裂,并伴有语言混乱和半冲突。还有许多其他身份标准在各处实施,并且防火墙内可能发生各种各样的事情,但 OpenID 是广泛使用且每个人都可以参与的开放网络的标准。这使其具有可持续性并为未来做好准备。
今天的另一个重要观点是,在易用性和安全性之间存在着强烈的权衡。如果没有易用性,就不可能有安全,因为用户不知道该做什么并且行为不安全,或者因为他们为了更简单的产品而放弃了不易使用的安全产品。面临的挑战是让技术安全专业人员与用户体验设计师合作,创建有吸引力且安全的解决方案。