Cosas esenciales en las que pensar antes de externalizar la autenticación con OpenID, OAuth o SAML

17

Está claro que no hay un conjunto consistente de características entre ninguno de los proveedores de autenticación populares.

A continuación se muestra un intento de agregar las similitudes y diferencias que he notado, pero agradecería su consejo sobre qué características adicionales faltan y cuáles son las características importantes a tener en cuenta al consultar a un proveedor subcontratado.

Autenticación

  • Autenticación de 2 factores por sesión ( Google , Verisign , MyOpenID )
    • Blackberry, Android, iPhone, aplicación ( Verisign , Google )
    • Texto (MyOpenID, Google)
    • Voz (MyOpenID a través de PhoneFactor, Google)
    • Certificados de navegador y token físico ( Verisign )
  • 2 Factor de autenticación por computadora: Facebook
  • Beta (características sujetas a cambios) Yahoo 2/22/13
  • Forzar cambio de contraseña ( LiveID cada 72 días)

Privacidad

  • Dirección de correo electrónico oculta / no compartida (LiveID, ClickPass)
  • Ofrece una ID única por sitio web ( ClickPass )
  • Controles de intercambio de información ( Yahoo , Facebook, Google, LiveID , LiveIDServices )

Característica de contraseña olvidada

  • Más seguro ( Google tiene teléfono, OTP y una encuesta difícil de completar)

Soporte de delegación

  • Verisign
  • ClickPass
  • (muchos otros)

SignIn Seal / SiteKey

Ver historial de autenticación

  • Registro completo de fecha, acción y destino MyOpenID
  • Buen registro pero ineficiente para el acceso de auditoría Facebook
  • Limitado para otorgar y eliminar la autenticación Google , Yahoo

Resumen de sesión activa

Características del usuario final

Admite cuentas conectadas

Protección de reproducción de token

Seguridad de conexión

Pregunta

  

¿Perdí alguna característica importante de la aplicación?
   ¿Hay algunas características a las que no debería prestar atención cuando comparo proveedores?

Algunos ejemplos de información adicional que faltan en esta lista incluyen información específica sobre el cifrado, la certificación ISO / SAS70 o si los proveedores están usando DNSSec. Podría usar la ayuda para recopilar esta información y priorizar qué es importante y qué no.

Por favor, comparta información adicional o corrija los errores que considere oportunos.

    
pregunta random65537 09.10.2011 - 08:01
fuente

2 respuestas

3

La respuesta correcta dependerá claramente de su aplicación.

Por ejemplo, has enumerado:

  

Opción para el proceso de inicio de sesión "difícil" para mejorar la seguridad (Verisign), también vea esta pregunta relacionada

Usar un proveedor como este sería una elección terrible para un sitio con bajos requisitos de seguridad de inicio de sesión y un fuerte deseo de tener pocas barreras de entrada para obtener una base de usuarios, por ejemplo, un intercambio de pila o twitter. Por otro lado, sería un beneficio para un sitio que necesita realizar transacciones financieras.

Hasta cierto punto, también dependerá de la combinación de las preferencias de sus usuarios combinadas con la reputación del proveedor. Si obliga a los usuarios a usar Facebook, por ejemplo, para registrarse, puede perder usuarios que hayan rechazado Facebook. O google: ya tienen suficiente información sobre mí, ¿por qué querría que lo supieran cada vez que inicie sesión en su, digamos, sitio de citas?

Por último, creo que una "característica" que falta es el historial de seguridad de actual (en comparación con prometido ). Si un proveedor dado ha tenido una serie de fallas, es probable que continúen teniendo fallas. Esto no quiere decir que un proveedor sin vulnerabilidades conocidas no tendrá algunas expuestas en el futuro.

    
respondido por el bstpierre 16.12.2011 - 04:24
fuente
2

Un problema clave al usar un proveedor de identidad subcontratado (IdP) es una posición de confianza. ¿Confías en ellos? El factor de confianza tomará muchas formas y es imperativo que acompañe a los patrocinadores de su empresa a través de las ventajas y desventajas de los modelos de confianza federados antes de hacerlo.

  1. ¿Tiene un contrato explícito o implícito con el IdP? Esto es importante porque si su empresa depende de un IdP de terceros, debe asegurarse de que los comerciales se entiendan completamente sobre lo que puede y no puede hacer con las identidades de confianza y si el IdP puede retirar el servicio sin previo aviso, etc. li>
  2. No dice si los usuarios son el público en general o el personal. Si son miembros del personal, debe considerar el proceso de JML (joiners, leavers, movers) y asegurarse de tener implementados los procesos asociados para administrar quién está autorizado para ver qué. La Federación resuelve de forma ordenada gran parte de la autenticación, pero ninguno de los privilegios y la autorización.
  3. Has enumerado algunos excelentes mecanismos federados que son útiles en sitios web públicos. Si también se está federando con usuarios del personal (es decir, con sus propias identidades), es posible que necesite un conector SAML. Usted menciona ADFS; que ha tenido sus limitaciones en el pasado en términos de cumplimiento con SAMLv2, pero es excelente si usa Active Directory como su herramienta IdP. La industria tiene algunos actores importantes como Shibboleth (OSS) y Ping con su herramienta "Federate". También tienen una solución Ping Connect que es un poco más barata. Sin embargo, estos solo son necesarios si usted es el IdP y utiliza un proveedor de servicios (SP) externo. Ping, IBM y CA tienen herramientas de federación pero están en el extremo más caro del espectro.
respondido por el Callum Wilson 16.01.2013 - 09:53
fuente

Lea otras preguntas en las etiquetas