Últimos artículos

Panda consigue un 112% más de partners certificados en cloud

La empresa de seguridad ya cuenta con casi 600 socios certificados en sus servicio de seguridad clou...

Leer más

Primavera BSS incorpora a Neoris en su ecosistema

Diversas localizaciones del norte de España tendrán ahora más cerca las soluciones ERP de Primavera ...

Leer más

El gasto tecnológico cae en España a 12.000 millones de euros este año

La situación económica y la alta tasa de paro, serán las prinicpales causas de la caída del gasto, q...

Leer más

Microsoft y Google dicen que suavizarán su estrategia de patentes

Por separado, dos de los grandes fabricantes de la industria smartphone, Google y Microsoft han decl...

Leer más

Últimos artículos

Johnnie Walker también celebra las Bodas de Diamante de la reina Isabel II

Su Graciosa Majestad cumple 60 años en el trono, unas Bodas de Diamante. Y eso se merece una celebra...

Leer más

Nike diseña una zapatilla específica para piernas ortopédicas deportivas

Seguro que ya no os sorprendéis al ver uno de estos atletas a los que les falta una pierna.. o ambas...

Leer más

Se afianza el sector de los tablets pequeños-smartphones grandes: LG Optimus Vu con pantalla de 5″

En Samsung tienen un catálogo de tamaños de pantalla que es la pesadilla de un proveedor de componen...

Leer más

Google pone el punto de mira en Dropbox mientras afianza la presa con Motorola

La próxima semana podría quedar zanjada la compra de Motorola por parte de Google a cambio de 12.500...

Leer más

Últimos artículos

Abertis, multada por abuso de posición de dominio en la TDT

Abertis pagará más de 13 millones por no permitir entrar a terceros en el mercado de transporte de l...

Leer más

Kodak deja de fabricar cámaras y otros dispositivos digitales

Kodak acaba de anunciar el abandono de la fabricación de “dispositivos para la captación de imágenes...

Leer más

Oracle compra Taleo

La compañía se posiciona así en la batalla por las soluciones de gestión de capital humano, “el próx...

Leer más

Bodas de plata para Exact y Martiko

La conservera lleva ya 25 años utilizando el software de análisis y gestión empresarial desarrollado...

Leer más

Últimos artículos

El hardware es una traba para implementar las actualizaciones de Android en los smartphones

Christy Wyatt, Vicepresidenta Corporativa de Software y Servicios de Motorola Mobility, ha señalado ...

Leer más

Menos móviles vendidos en España durante 2011

Los datos de Ametic, la patronal del sector tecnológico, muestran una reducción de las ventas de tel...

Leer más

Se filtra una imagen de la carcasa trasera del iPad 3

Ha aparecido en internet una fotografía que podría corresponder a la futura tableta iPad 3 que debut...

Leer más

Microsoft reconoce el “hackeo” en cuentas de Xbox Live

Xbox Live, la red para jugar online con la popular consola de Microsoft, está siendo víctima de los ...

Leer más

[x]Cerrar

Importantes preguntas acerca de OpenID después de las últimas vulnerabilidades

Algunas cuestiones de seguridad indican que OpenID es un método de autenticación poco fiable. Y seguirá siendo así a menos que algunas cosas cambien pronto.

El 3 de noviembre de 2008 por 0

A la luz de algunos anuncios recientes acerca de su vulnerabilidad, diversas investigaciones han demostrado que OpenID es un sistema poco fiable. Esto es decepcionante; pues, realmente, OpenID nos gusta. Pero reconocemos que esta situación confirma algunas sospechas que tuvimos sobre él en un primer momento.

openid2.gif

OpenID es un protocolo de autenticación. Por una parte, el OP (Proveedor de OpenID) —puede ser cualquiera, pero por el momento se han responsabilizado de ello algunas compañías famosas como AOL y Yahoo—configura un servidor OpenID para realizar la identificación. Por otro lado, la parte confidente—el sitio web que necesita autenticar a sus visitantes, como un blog—esencialmente realiza una llamada al proveedor de identidad para realizar la autenticación.

¿No sería estupendo que pudiésemos tener un conjunto de credenciales de OpenID en vez de docenas de nombres de usuario y contraseñas? Y, además, que la autenticación mediante OpenID fuese fuerte, con múltiples variantes, incluyendo seguridad biométrica. En cualquier caso, esto es lo deseable.

Desafortunadamente, Ben Laurie, del equipo de seguridad aplicada de Google, y el doctor Richard Clayton, del laboratorio de computación de la Universidad de Cambridge, han demostrado que, en la práctica, la seguridad de este método se resquebraja. Las vulnerabilidades de las que estamos hablando son el generador de números aleatorios de Debian y el envenenamiento de la caché de los DNS descubierto por Dan Kaminsky. Las comunicaciones que hacen posible OpenID se llevan a cabo normalmente a través del protocolo HTTPS, y han comprobado que algunos proveedores de OpenID utilizan certificados SSL con claves débiles (su lista: openid.sun.com, www.xopenid.net, openid.net.nz, etc.).

Páginas: 1 2 3

Último comentario




0 respuestas a Importantes preguntas acerca de OpenID después de las últimas vulnerabilidades

Deja un comentario

  • Los campos necesarios están marcados *,
    Tu dirección de correo electrónico no será publicada.

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>