Federalizace identity pro web (2)

Uživatelsky řízené technologie dodržují slib v poskytování zvýšené ochrany osobních údajů a zabezpečení díky způsobu, jakým jsou vytvořeny. Například technologie CardSpace umožňuje selektivní zpřístupnění uživatelských atributů, takže lze zabránit v přístupu k osobním údajům, které nesouvisejí s danou transakcí. Technologie OpenID zatím nenabízí funkcionalitu uživatelských atributů.


---tento text vyšel v tištěném SecurityWorldu 4/2008

Pokračování prvního dílu

Každý systém umožňující uživatelům prezentovat jednu sadu pověření pro více webů však vytváří riziko, že aktivity uživatele na těchto webech mohou být dávány nějakým způsobem do souvislosti. U technologie OpenID ví například poskytovatel identity o každém webu, kterému se prokážete svým pověřením. Stejně jako u ostatních webových technologií se za pohodlí platí ztrátou části soukromí.

 

Technologie CardSpace je pro účely poskytování záruky zabezpečení vystavěna na standardech, jako jsou WS-Trust, Secure Token Service a WS-Security. Výsledkem je, že technologie CardSpace těží z výhod veřejných kontrol zabezpečení těchto standardů. Protože jsou technologie CardSpace a OpenID otevřenými architekturami, jsou možné jejich další kontroly zabezpečení.

Největší hrozbou pro jednotlivce je takzvané sociální inženýrství, které je umožněno každým systémem správy identit. V současné době je největší hrozbou phishing a služba OpenID je jako každé z webových autentizačních schémat obzvláště zranitelná. Součást pro výběr identity v technologii CardSpace byla speciálně navržena tak, aby chránila před útoky typu phishing apod. Přísné trvání na konzistentním uživatelském rozhraní navíc u technologie CardSpace snižuje různorodost autentizačních kontextů, se kterými se uživatelé setkávají při využití webových autentizačních technologií. To zvyšuje pravděpodobnost, že rozeznají neobvyklé chování, když jsou požádáni o zadání svých pověření.

 

Překonání úskalí správy identit

Uživatelsky řízené technologie již předvedly, že dokáží vyřešit mnoho nejtěžších problémů souvisejících se správou identit. Nyní čelí uživatelsky řízená identita úskalí, které představuje přijetí produktů popisované Geoffreyem Moorem. Již došlo k vítězství u nadšenců a vizionářů, ale stále se čeká na rozsáhlé přijetí pragmatičtější rannou majoritou. K překonání tohoto úskalí musí uživatelsky řízené technologie v nadcházejících 12 až 24 měsících zdolat několik milníků.

Nejprve je třeba zahrnout uživatelsky řízenou identitu do více produktů, které kupují uživatelé z podnikové sféry. „Je to výzva. Tyto funkce stále chybí, a tak je organizace nemohou nasadit,“ komentuje situaci Hardt ze společnosti Sxip. „Pokud je společnost CA prodává s produktem SiteMinder, jedná se o rozhodnutí týkající se konfigurace. Když bude Microsoft dodávat službu Active Directory s vestavěnou technologií CardSpace, bude vydávání spravovaných karet snadné.“

Neuenschwander ze společnosti Burton Group souhlasí. „Není pravděpodobné, že by byly nasazeny samostatně. Podniky nasadí OpenID a CardSpace prostřednictvím federalizace nebo produktů ESSO (jednotné podnikové přihlášení). Pro podniky to bude bezpečnější a funkčnější způsob, jak získat a nasadit tyto technologie,“ vysvětluje.

Ohledně pravděpodobnosti širokého rozšíření technologie mezi dodavateli v krátké době Neuenschwander uvádí, že „většina dodavatelů produktů pro federalizaci hodlá podporovat spolupráci s technologií CardSpace.“ Poskytne jim to možnost jednotného přihlášení s prostředími od společnosti Microsoft, jako jsou např. SharePoint a Exchange. To vše nás čeká do jednoho roku.“

Související součástí je samotný výběr identity. Společnost Microsoft ji již zahrnula do systému Vista, ale použití součásti pro výběr identity v jiných systémech vyžaduje její stažení a instalaci. Zahrnutí součásti pro výběr identity do operačního systému bez nutnosti stahování zvýší penetraci a odstraní jednu stranu známého problému vejce nebo slepice, kterému čelí podniky s technologií CardSpace ve scénářích vztahů se zákazníky.

Na bojišti standardů je dalším důležitým milníkem OpenID 2.0 se standardy pro výměnu uživatelských atributů. U technologie CardSpace se čeká na schopnost synchronizovat přihlášení mezi různými zařízeními, včetně funkcí mobilního přihlášení.

 

Ranní osvojitelé

Ačkoli je třeba ještě mnoho vykonat předtím, než většina organizací bezvýhradně přijme tyto technologie, některá nasazení již probíhají.

Produktoví manažeři jsou skupinou, která pravděpodobně přijme uživatelsky řízenou identitu brzy, protože jejich cílem je rozumět a sloužit zákazníkům novými způsoby. Dva příklady: Společnosti AOL a France Telecom obě nasadily technologii OpenID. „AOL a France Telecom jako společnosti komunikující se zákazníky uvidí, že je uživatelsky řízená identita konkurenční výhodou,“ říká Durand ze společnosti Ping Identity.

Vlády Britské Kolumbie a Singapuru oznámily plány zavést pro své občany identifikační průkazy založené na technologii CardSpace. Federalizace identit není uzpůsobena pro mnoho vládních účelů, protože ve většině případů vlády nedokáží ovlivnit architekturu způsobem, jakým toho jsou schopni silní obchodní partneři. Vlády již dlouho slouží jako základní tvůrce identit ve společnosti a tyto ranné kroky mohou fakticky pomoci podnikům uvidět výhody systémů s uživatelsky řízenou identitou, zejména při rozšiřující se uživatelské základně této technologie.

Distribuované organizace, jako jsou univerzity, budou také patřit mezi ranné osvojitele kvůli své potřebě umožnit vývojářům autentizovat uživatele a získávat náležitě atributy mimo tradiční okruh IT. Autentizační systémy vytvořené pro použití ve vysokém školství, jako je CAP (Common Authentication Project), jsou již technologiemi OpenID a CardSpace vybaveny.

Mnoho webů již tyto technologie přijalo a přijetí není omezeno na komentáře blogů. Jedná se spíše o rozšíření do oblasti autentizačních služeb pro služby zákazníkům. Zásadními výhodami je rychlé osvědčení ve funkci snadnější správy účtů a schopnost zabránit tvorbě dalšího způsobu autentizace.

 

Krátkodobé plánování

Během příštího roku se očekávají produkty od dodavatelů federalizačních řešení, které by měly začít využívat uživatelsky řízené technologie. Pokud budou k dispozici, dojde nepochybně k zahájení projektů, které budou těžit z umístění uživatele doprostřed transakce.

Mezitím je vhodná doba na zahájení průzkumu. Na různých webových serverech nyní můžete použít obě technologie -- OpenID a CardSpace. Pokud se do toho skutečně chcete ponořit, máte k dispozici dobré knihovny a sady nástrojů jak pro technologii CardSpace, tak i pro OpenID. Najděte pilotní projekt, kde by uživatelsky řízená identita vyřešila nepříjemný problém, a můžete začít.

Zde uvádíme popis funkce uživatelského řízení identity. Každá transakce zahrnuje tři aktéry: uživatele, poskytovatele identity a závislou stranu. Když uživatel potřebuje provést obchodní transakci se závislou stranou, vyžádá si tato strana pověření identity. Uživatel vybere jaké pověření použít a informuje poskytovatele identity spravujícího pověření o čekající transakci. Poskytovatel identity poté zašle důvěryhodnou zprávu závislé straně, pro kterou mají uživatelé vydáno jimi vybrané pověření.

V čele tohoto hnutí jsou dvě technologie: CardSpace a OpenID. Tyto dva systémy se liší ve svém přístupu k výše uvedeným krokům, ale sdílejí jeden důležitý aspekt: Oba uchovávají centrální roli pro uživatele při transakcích identity a vyžadují aktivní zapojení uživatele při každé výměně informací o pověření.

 

CardSpace

Technologie CardSpace vyvinutá a propagovaná společností Microsoft se liší od dřívějších produktů společnosti Microsoft v oblasti identity tím, že není produktem centralizované identity, ale spíše protokolem pro budování distribuovaných systémů identity. Společnost Microsoft nabízí produkty, které implementují poskytovatele identity a závislé strany kompatibilní s technologií CardSpace, ale to dělají i další dodavatelé.

CardSpace je systém založený na tokenech, což znamená, že pověření jsou šifrované zprávy vytvářené poskytovatelem identity a ověřované závislou stranou. Tyto tokeny vytváří za provozu poskytovatel identity na základě žádosti uživatele. Obsahují podmnožinu atributů obsažených v nadřazeném seznamu pověření.

Centrální vlastností technologie CardSpace je výběr identity. Stejně jako peněženka umožňuje tento výběr zvolit pověření, která chtějí uživatelé zaslat závislé straně. Protokol CardSpace omezuje dostupná pověření na ta, která odpovídají požadavkům závislé strany. Pokud například závislá strana vyžaduje platbu, nebudou neplatební karty přístupné a výběr zobrazí pouze uložené kreditní karty.

Výběr umožňuje dva druhy karet: s vlastním vydáním a spravované. Karty s vlastním vydáním jsou užitečné pro aktivity, jako je autentizace v systému blogu, a pro podobné transakce s nízkým rizikem. Spravované karty mohou obsahovat kreditní kartu z banky, ID od zaměstnavatele nebo dokonce online verzi řidičského průkazu vydaného státním úřadem.

Výběr identity pro technologii CardSpace je zahrnut v systému Vista a pro systém Windows XP lze tento software stáhnout jako součást prostředí .Net Framework 3.0. Výběry karet pro systémy Mac a Linux jsou dostupné od společnosti Novell jako součást jejího projektu Bandit. Můžete je vyzkoušet přihlášením k blogu Kima Camerona, který je šéfarchitektem identity ve společnosti Microsoft.

 

OpenID

OpenID je otevřený standard, který vznikl jako práce několika osob během několika posledních let. Původně byl vyvinut Bradem Fitzpatrickem jako systém identity pro web LiveJournal. OpenID je nyní vyvíjen pod záštitou organizace OpenID Foundation.

Identifikátory OpenID jsou adresy URL. Pro OpenID může být použita jakákoli adresa URL. Namísto využívání tokenů je OpenID systémem identity postaveným na vztazích. Když uživatel předá závislé straně svou URL adresu sloužící jako OpenID, potvrdí poskytovatel identity závislé straně, že uživatel poskytl dostatečný důkaz vztahu s poskytovatelem identity. Ve specifikaci OpenID není definováno, co je důkazem ani podstata vztahu. Důkazem je obvykle autentizace pomocí hesla, ale důkaz může být založen na zabezpečeném fyzickém tokenu nebo záznamu, který byl podepsán pro daný účet v minulosti.

Jednoduchost je silou i hlavní slabinou standardu OpenID. Na jedné straně činí ze standardu OpenID nenáročnou velmi lehce nasaditelnou technologii. Na straně druhé závislá strana neví o uživateli téměř nic, tedy kromě toho, že poskytovatel identity a uživatel mají tajemství. Pokud závislá strana nedůvěřuje poskytovateli identity, je obtížné použít standard OpenID pro cokoli náročnějšího, než je autorizace komentátorů blogu.

Standard OpenID je předmětem významných probíhajících aktivit. Má robustní zjišťovací mechanismus založený na specifikaci XRDS (eXtensible Resource DescriptorS) a také má mechanismus výměny atributu poskytnutý společností Sxip Identity. Tato a další vylepšení jsou dokumentována v prozatím neschválené specifikaci OpenID 2.0.

Standard OpenID je nejrozšířenější na webu a je nasazen na serverech, které uživatelům umožňují vytváření vlastních účtů. Použitím standardu OpenID se tyto weby osvobodily od správy fáze autentizace, kdy dochází k interakci s uživatelem a od souvisejících problémů, jako je opětovné nastavení hesla.

Odhaduje se, že existuje 160 milionů adres URL pro OpenID a cca 10 000 serverů, které podporují přihlášení pomocí standardu OpenID. Pro použití není potřebný žádný speciální software. Pokud máte účet AOL nebo přezdívku, jste součástí těchto 160 milionů, protože AOL má ve svých identifikátorech použit standard OpenID. Pokud je vaše přezdívka AOL například „froam2“, potom je vaše AOL OpenID http://openid.aol.com/froam2. Tuto adresu URL můžete použít k přihlášení k jakémukoli ze serverů v adresáři OpenID.

 Komentáře