Moderné spôsoby autentizácie na webe
Pavol Babinčák
Autentizácia na webe
- Aký používate? Aký je najčastejší?
- Prihlasovacie meno a heslo
- (takmer) na každej stránke samostatná
- Pre získanie prihlasovacieho mena potrebná registrácia
- Rôzne prihlasovacie mená podľa dostupnosti pri registrácii
- Autentizácia - proces overenia identity
Požiadavky pre zlepšenie
- Jednotné prihlasovanie na mnoho webov
- Nevyžadovaná registrácia pre každý web
Vhodné vlastnosti
- Rôzne formy overenia identity
Riešenia rôznych firem
- OpenID (open source komunita, propagované OpenID Foundation)
- Live ID (Microsoft)
- Google Federated Login
- Browser-Based authentication (Yahoo!)
- Facebook Connect
- OpenAuth (AIM)
- RPX - pokrytie vyššie spomenutých (JanRain)
OpenID
- Metóda pre prihlasovanie, nieje centralizovaná
- Overovanie voči jednému poskytovaľelovi OpenID
- Otvorený štandard, jedna z najsľubnejších technológií
… ako funguje
- Užívateľ od poskytovateľa OpenID získa OpenID identifikátor
- Užívateľ príde na stránku, kde sa dá použiť OpenID prihlásenie
- Užívateľ zadá OpenID identifikátor, alebo identifikátor poskytovateľa
- Stránka ho presmeruje na poskytovateľa, kde sa užívateľ prihlási
- Poskytovateľ ho presmeruje naspäť na stránku s výsledkom prihlásenia
- Ďalej stránke môže pracovať ako s bežne prihláseným užívateľom
Demo
- Prihlásenie cez OpenID k webu, vyžadujúcom dodatočnú registráciu
- … nevyžadujúcom registráciu
Vyžadovaná registrácia
- Zadať adresu www.fotogalerie.cz
- Kliknúť na Přihlášení OpenID
- Zadať OpenID identifikátor
- Zadať heslo k OpenID identifikátore na strane poskytovateľa. Upozorniť že to zadávam na iných stránkach.
- Povoliť prihlásenie. Tu by som mohol vybrať profil, ale aj tak sa nepoužije.
- Po presmerovaní fotogalerie.cz vyžaduje registráciu: "Vaše OpenID bylo ověřeno. Nyní ho prosím svažte s vaším účtem na fotogalerie.cz a nebo se zaregistrujte. Příště už budete přesměrováni přímo do vašeho profilu."
Nevyžadovaná registrácia
- Zadať adresu openiddirectory.com
- Kliknúť na login vpravo hore
- Zadať OpenID identifikátor. Upozorniť na to, že je tam oznámenie - po zadaní openID akceptujem Podmienky používania.
- Zadať heslo k OpenID identifikátore na strane poskytovateľa.
- Povoliť prihlásenie. Vyberiem nejaký profil, ktorý sa bude používať.
- Po presmerovaní naspäť vidím vpravo hore že som prihlásený.
… ďalšie vlasnosti
- Užívateľ si môže uložiť u poskytovateľa údaje ako e-mail, skutočné meno, adresu … Po povolení užívateľom môžu byť tieto údaje zaslané stránkam na ktoré sa užívateľ prihlasuje.
- Možnosť prevádzkovať vlastného poskytovateľa.
- Pomocou aliasu na vlastnej stránke byť nezávislý od poskytovateľa OpenID. Identita pritom zostáva rovnaká.
- Anonymné identity využitím identifikátora poskytovateľa.
Demo
- Demo získania uložených údajov a aliasu
Uložené údaje
- Na prihlásenj stránke openiddirectory.com po kliknutí na member settings je možné ukázať údaje, ktoré som tam nezadával, ale získalo si to od OpenID poskytovateľa.
Alias
- Pre prihlásenie na openiddirectory.com využiť stránku na ISe: http://is.muni.cz/www/99094/openid/, kde sú info o aliase.
- Ukázať, že sú tam tie isté údaje ako boli predtým.
- Zobraziť zdrojový kód stránky na ISe.
… nevýhody
Nemá žiadne
Počkať na reakciu, prípadne upozorniť na to. Spýtať sa či niekoho nejaké napadnú.
… nevýhody
- Poskytovateľ má prehľad o stránkach navštívených užívateľom, kde ho žiadal o sprostredkovanie prihlásenia.
- Riešenie - výber poskytovateľa, ktorému užívateľ dôveruje.
- Prihlasovanie využitím OpenID je málo rozšírené.
- Postupne sa ale zlepšuje. (OpenID Directory - zoznam stránok s OpenID)
- Náchylné na bežné bezpečnostné problémy na webe - XSS, Phishing.
… implementačná podpora
- Podpora v CMS: Drupal, Wordpress, …
- Ďalšia podpora: MediaWiki …
- Jazyky: PHP, Python, Ruby - od JanRain Inc.
- Ďalsie jazyky: .NET, Java - tiež odporúčané
- Viac na OpenID Libraries
… poskytovatelia
- V ČR: seznam.cz, openid.cz
-
… v ČR podporujú
- Ďalšie?
Ďalšie autentizačné služby
OpenAuth
- Vyvinuté a zavedené AOL
- Umožňuje prihlásenie mnohými metódami
- Jedna zo zaujímavých metód sú prihlasovacie údaje z ICQ
- Vývojárska dokumentácia
RPX
- Prevádzkované firmou JanRain, ktorá stojí za mnohými vecmi spojenými s OpenID
- Vývojár webu implementuje iba jedno aplikačné rozhranie - RPX
- Prihlásenie je ďalej v réžii RPX
- Dovoľuje využiť viacero metód pre prihlásenie
Ěšte ďalšie autentizačné služby
Facebook Connect
- Pre autentizáciu využíva účty Facebook
- Vhodné pre web, ktorý využíva komunitné vlastnosti
- … alebo pri kampani využívajúcej služby Facebooku
Odkazy
- Zdroják: Seriál Moderní internetové autentizační metody Stránky boli jedným z hlavných zdrojov pre túto prezentáciu.
- Stránky OpenID Foundation
- OpenID na Mozek.cz
- RPX
- Facebook connect