OpenID får bred opbakning

Meget smart men jeg håber at det ikke virker på samme måde som med MS live login hvor man ikke kan være logget ind på forskellige sites med forskellige logins.

#1 - Med MyOpenID, kan du have forskellige "personas", men du har stadig kun 1 login.

Hm - Kunne være godt hvis det bliver lidt mere udbredt, det eneste sted jeg har set det, er her på newz.dk..

#1
Det gør det ikke. Du kan have et uendeligt antal logins. OpenID specificerer kun selve login-processen. Det er ret genialt.

Jamen tillykke til OpenID da, fantastisk, så kan det være vi slipper for det andet snask :)

Endeligt begynder der at ske noget. Det var også på tide, men der sker jo ikke det store før the big guys er med på vognen, hvilket de så er nu.

Det bliver stort :)

OpenID er cool, det betyder alt andet lige bedre sikkerhed for brugeren fordi autorisationen af ens brugernavn/password sker på et andet site. Jeg kunne godt finde på at bruge det i fremtidige projekter, spørgsmålet er, om det er noget man kan lære alm. mennesker at bruge?

#7 Simm:
Hvis man nu henviser dem til en simpel, dansk udbyder, så skulle det være lige til ;-)

#8: Jamen deeet kunne da godt ske jeg gør det så ;-)

Ja, lad os endelig samle vores adgang til alt hvad vi laver, på ét centralt sted, så hackere kun skal koncentrere sig om at angribe ét sted, for størst mulig effekt.
-Og så er det oven i købet open source, så de får al den hjælp de kunne bede om...

Nej, ellers tak!

#8 De får ellers reklameret godt for dit site.. :)?

Et DDoS angreb på OpenID-serverne kunne være et problem. Så er det pludselig ikke så sjovt at have samlet alle sine logins :(

Selve ideen er fed, men det skal da godt nok være topsikkerhed.. sådan en database ville jo være det pureste guld værd, hvis man ku få fat i det..

Specielt hvis man også kunne få nogle adgangskoder ud af det.. men det har de forhåbentlig styr på.. tænker mere på emails, personlige informationer, oplysninger om hvilke sider man er på (interesser) = huge amounts of spam

OpenID kan også bruges lige her på newz.dk

hmm ja hvis det virkede kunne man bruge det :S

wait a minute....

MS er med på OpenID vognen?! Det må da være en fejl.

Hvad er den egentlige forskel på OpenID og MS nok så upopulære ".NET Passport" (Nu Windows LiVE) ?

GrillBiller:
MS Passport er hosted, styret og håndteret af MS. OpenID kan bruges af alle, på whatever server man vil implementert som man vil (inden for specifikationen). 'nuff said.

<karma mode="burn">

-Og så er det oven i købet open source, så de får al den hjælp de kunne bede om...Angelenglen

Ja, for closed source har jo gentagne gange vist sig at være langt mere sikkert vha. security through obscurity. Spasser.
</karma>

Ja, lad os endelig samle vores adgang til alt hvad vi laver, på ét centralt sted, så hackere kun skal koncentrere sig om at angribe ét sted, for størst mulig effekt.#10 Angelenglen

øøh, tror lidt du har misforstået pointen. ALLE kan hoste en udbyder, der er altså stadig en millionmilliard steder man skal finde brugerne. Jeg fx bruger min egen server som openID udbyder.

-Og så er det oven i købet open source, så de får al den hjælp de kunne bede om...#10 Angelenglen

Den stupiditet har Cyrack vist behandlet lige over mig

#18 hmm kan være jeg har misforstået konceptet.. er det ikke meningen at man har én brugerkonto, ét sted?
Altså må dataen ligge et eller flere steder.. og hvis de ligger på forskellige servere, skal loginprocessen så læse samtlige registrerede servere igennem for at finde netop dit openid?

#19 Jo man har én brugerkonto, ét sted, hvis man ønsker det.
Men systemet er bygget op så der er rig mulighed for at sætte en ny op. I modsætning til MS Live og Passport fx som var bygget op om en central server så er openID decentraliseret.
Det min kommentar gik på var at det ikke er muligt fx at hacke sig in i MS's database og trække alle brugere ud.
I openID er det fx hos newz.dk kun mig og newz.dk der kender min openID udbyder og URL og derfor er det ikke nær så nemt at finde brugeren.

Håber det gav lidt mere mening

Enig med #14, jeg har også prøvet at bruge openID her på newz... flere gange endda, og med flere openID udbydere. Jeg har stadig ikke fået det til at virke. Enten opdaterer newz-siden uden ændringer, eller også får man en fejl hos openID udbyderen.

#21 Lyder meget mærkeligt, kunne ikke forestille mig crew ikke havde testet openID, specielt da Acro har en openID provider *hint* *hint*
Og det virker da også upåklageligt for mig, det går lidt langsomt men det er på min side problemet ligger.

#17: Det er fint du ikke kan lide mig eller min mening, men det er ikke pænt at svine spastisk lammede til (Og nej, jeg er ikke spastiker)!
Hvis du absolut vil sænke dit niveau ved blot at svine folk til, så lad dog være med at lade det gå ud over uskyldige.

#10

-Og så er det oven i købet open source, så [hackerne] får al den hjælp de kunne bede om...

Open source? OpenID er en standard - en protokol - ligesom IP eller HTTP. Ikke et stykke software.

#10 Angelenglen:
Jeg kan godt forstå din frygt, men det er ikke så stort et problem igen. Det er faktisk kun et stort problem, hvis det sikkerhedsmæssigt er en dårlig løsning. Lad os tage udgangspunkt i nogle eksempler:

Hvis bekræftelseskoden foregår på den måde, at der sendes en MD5-hash af "secret" og brugerens identity, så vil det være at foretrække, at det holdes hemmeligt, fordi det ellers er muligt for enhver at ombryde. Til gengæld må man forvente, at det med udbredelsen af systemet bliver meget interessant at undersøge, hvad der foregår (open source eller ej), og så står man altså i lort til halsen.

Hvis man i stedet validerer på en måde, hvor der anvender kryptering og sikker udveksling af nøgler (f.eks. med (Elliptic Curve) Diffie-Hellman), så er det for så vidt ligemeget om andre ved, hvad algoritmen er, fordi den stadig vil være sikker.

Og man kan jo desuden spørge sig selv, hvor den største risiko ligger. Findes den, hvor man har 1.000 uafhængige udbydere - eller en stor?

Derudover er det vigtigt at huske, at det er en åben standard. Der behøver ikke at være noget som helst open source over den implementering, man laver. Det er jo et frit valg.

#12 el_barto:
Du rejser en rigtig interessant pointe. Den fortjener næsten også et ordentligt svar.

OpenID både er og ikke er sårbar for DDoS-angreb. Det er rigtigt, at du kan ramme en udbyder, og at det vil begrænse muligheden for at logge på ret drastisk, men OpenID understøtter faktisk noget, du kan bruge til at omgå dette. Man kan bruge en såkaldt delegated identity, hvor du så på dit eget domæne har informationer, der peger på din udbyder. På den måde vil du let kunne udskifte disse informationer, hvis en udbyder er gået ned. Desuden understøtter mange websteder, at man kan knytte flere identities til samme konto.

Til gengæld åbner muligheden for delegated identity nogle helt andre sikkerhedsproblemer. Man kan have en nok så sikker udbyder, men hvis man nu ligger på et discountwebhotel med sin delegated identity, så er det altså bare at bryde derind og pege på en anden udbyder; så har man fuld adgang. Ens data vil dog stadig være beskyttet hos den oprindelige udbyder.

Derudover kan man også spørge, hvor tit Yahoo! eller Google er ramt af DDoS. Det er selvfølgelig en grund til at vælge dem frem for andre udbydere, men man skal nu alligevel tænke sig om. Det er meget sjovere at forsøge at få de store til at gå ned, og de modtager langt mere opmærksomhed. Jeg tror ikke på, at vi vil se målrettede angreb imod udbydere, der har få registrerede konti. Man går ofte efter de steder, hvor man kan ødelægge mest.

#13 karga:
Det er rigtigt, at risikoen flyttes lidt rundt, men jeg vil nu spørge på en anden måde. Hvem tænker mest på sikkerheden? Din OpenID-udbyder eller et tilfældigt websted? Jeg tror nok, at man som udgangspunkt kan forvente, at det er OpenID-udbyderne. Vi laver jo ikke andet end netop det.

Man kan dog aldrig være sikker, men når mange mennesker genbruger adgangskoder og deslige, så mener jeg stadig, at OpenID er en sikrere løsning generelt. Der vil altid være nogle, der har så høje personlige standarder, at deres sikkerhed overgår den, men det må man acceptere. Det er ikke umiddelbart muligt at forene med registreringen, hvis almindelige brugere også skal kunne anvende tjenesten.

Jeg har faktisk været meget i samme dilemma, da jeg lavede min egen tjeneste. Hvordan kræver man at folk vælger en sikker adgangskode? Min nuværende model med at "tælle bits" vil nok udelukke nogle fra at oprette sig. Jeg vurderede dog, at det er nødvendigt for at vise, at der er styr på sikkerheden. Lad os antage, at alle brugere på newz.dk havde haft sikre adgangskoder, inden TGG brød ind. Så ville der pludselig ikke være så meget opmærksomhed omkring det længere.

Adgangskoder er naturligvis det, der beskyttes bedst, men persondataene passer der også særligt på. Det påbyder lovgivningen jo. Jeg har herunder lavet et eksempel på, hvordan adgangskoder beskyttes. Det er selvfølgelig ikke helt lig den faktiske implementering, for det ville ikke give mening at fortælle om den.

Salt = 2361269176727292576 (konverteres til bytes og sættes som præfiks)
Hashværdi = bPleR3d0YpIV6q94ySseODHrJu7jxK6TsGLp8kpTlBOi
4AgqmEf6f5/WyHlBy9if1RxnV9NkHeJTGsHiMkgmwQ==
(SHA-512 som base 64)
Konverteringer fra strenge til bytes anvender UTF-8-tegnsættet.

Jeg tør godt udlove en flaske Möet et Chandon, hvis der er nogen, der kan give mig den adgangskode, der er udgangspunkt for ovenstående.

Og jeg har allerede givet langt flere oplysninger, end man kunne være sikker på at få, hvis man "bare" fik adgang til en database.

Måske hører det lige med til historien at ideen slet ikke er ny, fx har man i den hjemlige danske skoleverden i årevis anvendt UNI-login
http://support.emu.dk/uni-login/
Jeg ved godt, det ikke er nær så sejt som når Google og de andre gør det, men alligevel - ideen er den samme.

#28
UNI-login er ikke decentralt, men styres af UNI-C, ligesom Microsoft styrer Windows Live. Decentraliseringen er jo netop OpenID's helt store force, og at de har formået at skabe en løsning der både er elegant faktisk virker er en nyhed.

#17: Det er fint du ikke kan lide mig eller min mening, men det er ikke pænt at svine spastisk lammede til (Og nej, jeg er ikke spastiker)!
Hvis du absolut vil sænke dit niveau ved blot at svine folk til, så lad dog være med at lade det gå ud over uskyldige.#23 - Angelenglen

Har aldrig mødt dig, eller haft en længere samtale med dig, så jeg har ingen idé om hvad eller hvordan du er. Dog kan jeg ikke lide din ignorante holdning omkring open source, og specielt hvad der er sikkert eller ej. Sikkerhed måles ikke i hvor mange der har adgang til koden, men derimod kvaliteten af koden, derfor er dit postulat om ikke andet så dybt vildlende.
Hvis du er så bange for centralt kontrollerede brugeradministrationssystemer burde du slette dit Messenger login med det samme, da det system netop er centraliseret. OpenID er, som så mange andre har skrevet, yderst distribueret og dermed er det sværere at få adgang til alle brugerenes log-ins.