Sistema de identifica o openid
This presentation is the property of its rightful owner.
Sponsored Links
1 / 30

Sistema de Identificação OpenID PowerPoint PPT Presentation


  • 63 Views
  • Uploaded on
  • Presentation posted in: General

Sistema de Identificação OpenID. Vanessa Marques de Assis. O Problema. Muitas senhas para lembrar Muitos sites onde preciso inserir meus dados. O que fazer?. Anotar minhas senhas? Usar o mesmo username e senha para todos os sites?. A solução: OpenID. Autenticação Única

Download Presentation

Sistema de Identificação OpenID

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Sistema de identifica o openid

Sistema de Identificação OpenID

Vanessa Marques de Assis


O problema

O Problema

Muitas senhas para lembrar

Muitos sites onde preciso inserir meus dados


O que fazer

O que fazer?

  • Anotar minhas senhas?

  • Usar o mesmo username e senha para todos os sites?


A solu o openid

A solução: OpenID

  • Autenticação Única

  • O usuário escolhe seu provedor

  • Poucos locais com seus dados


Protocolo

Protocolo

  • Agentes


Protocolo1

Protocolo

  • Processo de autenticação

URL ou XRI único

Descoberta, redirecionamento e pedido de autenticação

Entrada de username e senha


Protocolo2

Protocolo

  • Processo de autenticação

URL ou XRI único

Descoberta, redirecionamento e pedido de autenticação

Entrada de username e senha e confirmação de informações.

Autenticação realizada com sucesso


Protocolo3

Protocolo

  • Autenticação Única

URL ou XRI único

Pedido de autenticação. Verificação do ID da sessão.

Permitir autenticação: dessa vez, sempre ou negar

Verificação realizada com sucesso


Protocolo4

Protocolo

  • Processo de Descoberta

  • Protocolo XRI para a descoberta do documento XRDS

  • Protocolo Yadispara a descoberta do documento XRDS

  • Análise do documento HTML apontado pela URLEx.: <link rel="openid2.provider" href="http://www.exemplo.org/openid"/>


Protocolo5

Protocolo

  • Protocolo Yadis

  • Identificador único: ID Yadis

  • Pedido HTTP

  • Resposta contém uma referência para documento XRDS


Seguran a

Segurança

  • Três Cenários

  • Usuário Malicioso

  • RP Malicioso

  • Provedor Malicioso


Seguran a1

Segurança

  • Usuário Malicioso

  • Acessar host internoEx.: localhost/admin.php?action=sql&query=DROP TABLE user

  • Forçar acesso a host externoEx.: www.exemplo.com/falhadeseguranca.php?attack=true

  • Inundação e negação de serviçoEx.: Muitos pedidos de autenticação em pouco tempo


Seguran a2

Segurança

  • Como evitar?

  • FiltrosNão deixe o usuário inserir a URL que quiser

  • Banir excesso de pedidos de autenticação que não passam pelo processo de descoberta

  • Banir muitos pedidos de autenticação em pouco tempo


Seguran a3

Segurança

  • RP Malicioso


Seguran a4

Segurança

  • Como usuário evita?


Seguran a5

Segurança

  • Como provedor evita?


Seguran a6

Segurança

  • Provedor Malicioso

  • Privilégios únicos

  • Pode passar-se por usuário

  • Possui informações sobre o usuário


Seguran a7

Segurança

  • Como evitar?

  • Provedor de confiança

  • Utilização de domínio próprioEx.: O domínio http://vanessa.exemplo.net possui em seu HTML o trecho:<link rel="openid2.provider" href="http://www.exemplo.org/openid"/><link rel="openid2.local_id" href="http://vanessa.exemplo.org"/>


Conclus o

Conclusão

  • Solução barata e simples de implementar

  • Principais falhas de segurança

  • Popularização é um ponto positivo

  • Não é ideal para alguns tipos de tarefa


Perguntas

Perguntas

  • Quais são os principais problemas que o protocolo OpenID visa solucionar?


Perguntas1

Perguntas

  • Quais são os principais problemas que o protocolo OpenID visa solucionar?

  • Com o aumento do número de serviços online, um mesmo usuário acaba tendo diversas contas, precisando decorar muitas senhas diferentes. E como há a necessidade da criação de uma conta para a utilização de cada serviço, acabamos inserindo informações pessoais em websites que por vezes não confiamos ou conhecemos a fim de conseguir uma autenticação para acessá-lo, o que permite que diversos locais tenham acesso a essas informações.


Perguntas2

Perguntas

2. Por que a prática de utilizar um mesmo username e senha para diversos sites não é segura?


Perguntas3

Perguntas

2. Por que a prática de utilizar um mesmo username e senha para diversos sites não é segura?

Essa é uma prática pouquíssimo segura pois basta que um dos websites em que o usuário se inscreveu seja malicioso ou tenha sua segurança violada para que obtenham a autenticação do usuário e, através dela, tenham acesso a outros websitesonde o usuário é cadastrado. Sendo assim, a segurança de todos os websites utilizados pelo usuário estará sujeita àquele com menor segurança.


Perguntas4

Perguntas

3. Quais são os principais agente envolvidos no protocolo OpenID?


Perguntas5

Perguntas

3. Quais são os principais agente envolvidos no protocolo OpenID?

Usuário: Pode ser representado pelo navegador utilizado pelo usuário final para acessar um website(relyingparty) e autenticar-se utilizando uma identidade OpenID obtida de um provedor OpenID de sua escolha

Provedor OpenID  (OP): Um servidor de autenticação que fornece uma ou mais identidades para o usuário final e valida as credenciais do usuário para autenticação. O usuário tem liberdade para escolher um provedor OpenID no qual confie

RelyingParty (RP): O website onde o usuário deseja conectar-se, utilizando um identificador OpenID. Esse identificador será validado pelo provedor OpenID do usuário.


Perguntas6

Perguntas

4. O que é phishing e qual agente do protocolo OpenID pode realizar esse tipo de ataque?


Perguntas7

Perguntas

4. O que é phishing e qual agente do protocolo OpenID pode realizar esse tipo de ataque?

Phishing é uma forma de fraude virtual, onde o atacante faz uma cópia de um website a fim de fazer com que o usuário acredite que se encontra no website verdadeiro para então obter a identidade do usuário e os dados pessoais que ele fornece ao local que ele acredita que seja de sua confiança. No protocolo OpenID, o agente que pode realizar esse tipo de ataque é o RP, falsificando o site do provedor OpenID utilizado pelo usuário com o objetivo de obter seu username e senha.


Perguntas8

Perguntas

5. Que medidas o usuário e o provedor podem tomar para se prevenir de fraudes como phishing?


Perguntas9

Perguntas

5. Que medidas o usuário e o provedor podem tomar para se prevenir de fraudes como phishing?

Para o usuário, uma das maneiras mais rápidas e eficazes de se identificar o phishing é através da análise da URL. Ou seja, é fortemente recomendado que o usuário verifique com atenção a URL do provedor OpenID e confirme que ela de fato está de acordo com a URL original antes de inserir os dados para sua autenticação. Se a URL parecer suspeita, é possível que o RP esteja tentando executar um ataque de phishing. O usuário pode também utilizar complementos em seu navegador que realizem esse tipo de verificação.

Já o provedor deve criar uma página de autenticação que seja fácil para que os usuários reconheçam mas que ao mesmo tempo seja difícil para que terceiros falsifiquem. Um exemplo apresentado é o selo de autenticação utilizado pelo Yahoo!.


Sistema de identifica o openid

Fim

Obrigada.


  • Login