• 淺析OpenID及其對于網絡安全的意義
    來源: 作者: 發布時間: 2008-09-12

    作為致力于解決用戶身份認證安全問題的專業組織――OpenID,創建于2007年6月。OpenID正在努力為OpenID建立支持,OpenID是一項旨在加強并且簡化網絡安全的技術,有了這項技術,人們就不再需要在跨越訪問不同的網站(包括從社會網絡到在線商店)時同時兼顧多個不同的ID。

    作為一項開源社區的創新,OpenID提供給用戶一個單一的識別號以及密碼,用戶可以使用識別號以及密碼登陸任何支持該項技術的網站。OpenID是被建立在一個分權結構中的,它允許任何人成為OpenID用戶或者供應商,而無需提交費用,也不需要進行任何形式的注冊和批準,唯一的要求是,用戶或者供應商需要嚴格遵守這項技術的標準框架和原理。因為OpenID利用的是現有的互聯網技術,用戶可以將現有的身份驗證號轉換成能在支持OpenID登陸的網站上使用的帳號。

    OpenID組織的技術已經引起了很多互聯網巨頭的關注,并且很多互聯網大公司希望與之建立合作管理。Google, IBM公司,微軟公司,VeriSign公司和雅虎公司等,都是該組織的股東,這些公司同時還承諾在各自網站上支持OpenID技術。

    優點

    OpenID承諾將為網站和擁護帶來很多好處,其中包括:

    簡單并且安全地訪問網站: 簡單的登陸方式(只需要使用一個登錄號)減輕了用戶的負擔,因為通常情況下,用戶在訪問各種不同的網站時總是要記住不同的身份驗證號或者密碼。

    更好、更安全的密碼管理: 因為只需要記住簡單的一個登錄號,所以用戶就能夠更好的更加準確的管理他們的密碼,這樣也相應地降低安全風險。OpenID只要求用戶記住一個密碼,這樣就減除了用戶為預防被偷竊而創建的手寫的或者電子的密碼列表的麻煩。

    靈活性增強: 用戶們以及公司企業可以嘗試根據自己的需求來創建OpenID,只要是符合OpenID驗證標準的方式都能夠被采用。例如,任何人都可以創建他們自己的身份驗證方式并將其部署在我們這個標準的框架中。同樣的,用戶們也可以遵循OpenID標準創建新的身份驗證服務來部署.

    穩定性增強: 當一些網絡安全戰略出現的時候,必然會取代過去幾年的網絡安全戰略。然而OpenID將會是持久的,不會被取代的。因為OpenID是一個開放標準,它不會因為任何一間公司突然改變策略或者突然倒閉而消失。

    OpenID存在的瑕疵

    雖然OpenID確實有很多優點,不過懷疑者指出OpenID存在的一些缺點可能會延遲甚至破壞OpenID的廣泛運用,這些缺點包括:

    低采用率:雖然擁有眾多互聯網巨頭的支持,不過OpenID離它的目標還很遠?D?D成為全球通用的安全工具。在OpenID的網站上,OpenID組織宣稱“OpenID仍然處于試用階段”。根據該組織最近的統計數據表明,目前有超過10000個網站支持OpenID登陸,這是一個不小的數目了,其中還包括很多熱門網站,不過大多數網站仍然不接受OpenID登陸方式。

    低認知度:很多網民甚至都沒有聽說過OpenID這種登陸方式,這種狀況將會得到改善,因為這種標準身份驗證方式的支持者們已經開始動用他們的人力資源力量。不過就目前而言,OpenID仍然屬于一種低認知度標準。

    低控制力:OpenID將絕大部分安全責任都轉移給了第三方,這樣是很方便,但是如果OpenID遭遇某種形式的安全災難,網站運行者將需要來收拾殘局。

    密碼的脆弱性增加:沒有 OpenID的時候,因為身份驗證或者密碼偷竊帶來的損失通常是有限的可以控制的。有OpenID的時候,丟失一個密碼就等于把所有的賬戶密碼全都丟失了。

    未經考驗的技術:因為OpenID目前正在逐漸開始擴大應用范圍,現在還說不清楚當釣魚攻擊者和其他互聯網黑客開始攻擊這種登陸標準及其用戶的時候將會有怎樣無法想象的安全威脅。

    隱私危險:隨著應用范圍的擴展,會不會開始在他們的網站間共享用戶個人資料呢,例如購物和閱讀偏好等?這看起來似乎極有可能。一個OpenID用戶可以通過采用多重身份驗證來避免這種安全風險,然而這樣做又破壞了我們的一名用戶一個身份驗證的標準,同時還可能導致可用性問題。

    展望未來

    OpenID目前還沒有被廣泛應用,在這種標準方式成為主流驗證方式前我們還有很多重要問題需要解決。另外,考慮到那些互聯網巨頭對OpenID的支持,我們很難想象OpenID最終不會成為主流身份驗證方式。

     
     
    地方動態

    首屆數字全民國防教育高峰論壇在京舉行

    第四屆信息技術及應用創新人才發展交流大會暨中國信息協會第三屆信息技術服務業應用技能大賽頒獎典禮在京隆重召開

    2023(第五屆)中國電子政務安全大會在京成功召開

    中國信息協會首次職業技能等級認定考試在黑龍江省舉行

    • 協會要聞
    • 通知公告
    初爱视频教程完整版免费观看高清