OpenID e il problema del phishing

Pubblicato il 28/03/2007 ¬ 11:30h. OpenID Italia Commenti disabilitati

Il phishing è un tipo di attacco informatico nel quale l’attaccante finge di essere un sito web usato normalmente dall’utente, gli chiede di effettuare il login ed in questo modo entra in possesso dei suoi dati (generalmente username e password). Ovviamente però il phisher deve convincervi a visitare un sito che sia la copia più o meno identica di un sito reale, nel quale voi realmente avete un account.

Questo tipo di attacco è reso particolarmente insidioso laddove ci sia di mezzo un’autenticazione tramite OpenID, uno username e una password; ad esempio:

  • Il phisher vuole accedere il vostro account su esempio.com, dove è possibile accedere tramite OpenID
  • il phisher mette in piedi inutile.com, dove si può effettuare login con OpenID, e vi invita a farlo

Ora, tenendo a mente che quando effettuate un login con OpenID è il sito stesso che vi reindirizza verso il vostro Relaying Party:

  • inutile.com scopre che avete un account su myopenid.com, e vi reindirizza su falso-myopenid.com, presentandovi una schermata che è identica a quella del vero sito
  • a questo punto voi inserite i dati e il gioco è fatto

Questo può sembrare un grosso problema, specifico, di OpenID, e molti ne hanno già parlato ma la situazione non è così drammatica.

OpenID non impone il sistema di autenticazione (sia quella debole, con coppia login:password che quella forte), per cui non è “colpa sua” se esiste un (già riconosciuto) problema in questi sistemi di login.

Non solo, alcuni servizi, offrono un meccanismo antiphishing simile a quello che adotta Yahoo!. Il meccanismo è molto semplice; come essere sicuri che il sito a cui si accede sia quello che conosciamo? Si fa in modo che il sito ci dica una cosa che noi gli abbiamo già detto e che solo noi, presumibilmente, conosciamo. Nel caso di Yahoo! si tratta di una piccola immagine composta da tre parole e da uno sfondo colorato, ma può trattarsi di un’immagine o quant’altro.

IdProxy, un servizio che permette di effettuare login su siti OpenID utilizzando i dati di un account Yahoo!, e al momento dell’effettuato login mostra all’utente un mostriciattolo da lui scelto in precedenza. Se il mostro non è presente, l’utente può correre ai ripari andando sul vero sito ed aggiornando i propri dati.

Anche MyOpenid ha lanciato un paio di mesi fa un sistema analogo, quindi le speranze per un futuro più sicuro ci sono tutte.

Share and Enjoy:
  • Facebook
  • FriendFeed
  • LinkedIn
  • Twitter
  • Identi.ca
  • Google Bookmarks
  • del.icio.us
  • RSS
  • email
  • Print
Varie ,

Resta aggiornato abbonandoti al feed RSS 2.0. I commenti ed i ping non sono disponibili

I commenti sono stati disabilitati