¿Se puede confiar en las aplicaciones al solicitar sus credenciales?

13

Hace poco compré una aplicación de lector de noticias para mi tableta que se conecta a Google Reader. Para ello, se requiere la contraseña de mi cuenta de Google. ¿No es esto efectivamente lo mismo que administrar la contraseña a los desarrolladores de dicha aplicación? No me importaría que alguien más lea mis feeds, pero esto también podría usarse para acceder a mi correo electrónico privado ... ¿No es este un método extremadamente eficaz para recopilar contraseñas y un terrible riesgo de seguridad para los usuarios?     

pregunta UncleZeiv 06.09.2011 - 01:42
fuente

4 respuestas

7
  

¿Se puede confiar en las aplicaciones al solicitar sus credenciales?

No. En las aplicaciones modernas y las aplicaciones web, los usuarios se han vuelto insensibles a las solicitudes de nombre de usuario, contraseña y otros detalles inocuos. Los elementos comunes han llevado a los usuarios a creer que estos nibblets de información son útiles para la aplicación. Sin embargo, esto está mal. Con raras excepciones, la autenticación no es necesaria para la función de la aplicación.

De hecho, creo que el uso de la autenticación de la aplicación es perjudicial para el usuario. Hace que la autenticación sea demasiado común, lo que hace que los usuarios sean menos prudentes y cuidadosos en los casos en que se necesita autenticación. Estructura el espacio de identidad, lo que facilita a los atacantes adivinar su identidad. Simplifica el espacio de teclas, lo que facilita a los atacantes encontrar sus claves. Humedece la seguridad de la operación y degrada la práctica de seguridad para activos con valor.

  

¿No es esto lo mismo que administrar la contraseña a los desarrolladores de dicha aplicación?

Sí, con raras excepciones. Incluso en los casos en que el protocolo no entrega directamente la contraseña a la aplicación o al desarrollador, sino que entrega un token de autenticación, el potencial de uso indebido y abuso es alto. Incluso OAuth tiene vulnerabilidades "Este protocolo no intenta verificar la autenticidad del servidor". .

  

¿No es este un método extremadamente eficiente para recopilar contraseñas y un terrible riesgo de seguridad para los usuarios?

Sí, incluso cuando no es intencional, los esquemas de autenticación mal diseñados pueden proporcionar una gran cantidad de información para los atacantes. Incluso si el nombre de usuario y la contraseña que usa para una aplicación típica no es lo mismo que el nombre de usuario y la contraseña que usa para activos más importantes, los patrones que usa ayudan a los atacantes a reducir la valiosa autenticación. En contraste, los protocolos bien diseñados como OAuth tienen un lado positivo: reducen el número de pares de nombres de usuario y contraseñas, así como el número de interfaces de autenticación mal implementadas y de diseño deficiente.

Sin embargo, también debemos mirar a los proveedores de servicios de OAuth: Google, Yahoo y Facebook. Estas son compañías que tienen interés en recopilar y agregar información sobre los usuarios específicamente para ganar dinero con esa información. El uso de estas compañías como proveedores de autenticación es en parte una extraña contorsión de confianza. Confía en estas empresas para manejar la autenticación de su identidad solo a las partes que especifique . Si bien tienen un interés conflictivo en proporcionar información sobre usted con la mayor resolución posible a las partes que desconoce. Su reclamo más efectivo es que la información que brindan sobre usted a terceros es anónima. Sostienen que esto será cierto a pesar del hecho de que ahora conocen su identidad y la han autenticado, potencialmente muchas veces. No he podido encontrar ninguna política que indique específicamente que estos proveedores nunca permitirán que su identidad autenticada se conecte a otros recopilados. Caveat emptor.

La aplicación en cuestión: 'aplicación de lector de noticias para mi tableta que se conecta a Google Reader'

El propósito de esta aplicación es monitorear el contenido en línea disponible públicamente y sin costo (sitios web y fuentes RSS) para detectar nuevos contenidos, notificarle cuando se detecte contenido nuevo y mostrar el contenido a pedido. El contenido en línea no es exclusivo de usted, lo que significa que no necesita identificarse para obtener los datos.

Los datos que no están relacionados con usted son la lista de sitios y el contenido que ha marcado como no nuevo. La singularidad requiere identidad pero no necesariamente autenticación. La aplicación utiliza Google Reader, aunque simplemente podría implementar sus propias funciones sin la necesidad de utilizar Google Reader. Es probable que la aplicación esté haciendo esto para mantener sus datos coherentes (sincronizados). Desea poder verificar el contenido en línea desde varios dispositivos diferentes y no necesita actualizar manualmente los cambios en un dispositivo que realizó en otro. Tenga en cuenta que la aplicación aún podría sincronizarse con otros dispositivos sin utilizar Google Reader.

Sus datos únicos (listas de sitios y contenido de lectura) se transfieren desde y hacia su dispositivo. La autenticación no proporciona confidencialidad (privacidad). Por lo tanto, la autenticación no protege a los demás para que no vean las listas de su sitio y el contenido de lectura. La autenticación no proporciona integridad, por lo que sus datos podrían corromperse o modificarse maliciosamente mientras se encuentra en tránsito. Lo que proporciona la autenticación es una forma de controlar el recibo y el almacenamiento de los datos. Si los datos son suyos, entonces deben ser válidos y, por lo tanto, se debe aceptar una actualización de su dispositivo actual a todos sus otros dispositivos para que sus datos se mantengan sincronizados.

    
respondido por el this.josh 07.09.2011 - 10:35
fuente
3

Estoy de acuerdo con @Sebo en que esto es un riesgo. Debido a que la cuenta de Google se comparte para muchos servicios de Google, la revelación de la contraseña de su cuenta de Google a la aplicación del lector de noticias parece un poco dudosa. Alguien que tenga acceso a la contraseña de la cuenta de Google de un usuario podría obtener una gran cantidad de información confidencial sobre el usuario.

Estoy de acuerdo con @Steve Dispensa en que OAuth sería una buena solución para esto. De hecho, parece que Google ya admite el acceso OAuth to Google Reader , por lo que no hay nada que impida que la aplicación del lector de noticias aproveche esta solución. Si su aplicación de lector de noticias fue escrita para usar OAuth, no tendría que almacenar su contraseña de Google. Desafortunadamente, OAuth no es tan conocido como podría ser.

    
respondido por el D.W. 06.09.2011 - 09:15
fuente
2

Tienes razón para estar preocupado. La mayoría de los usuarios reutilizan las contraseñas en un contexto u otro, y la mayoría no puede recordar exactamente lo que han hecho dónde (a menos que solo usen la misma una o dos contraseñas en todas partes).

Una posible solución a este problema:

enlace

Otra solución potencial es OpenID:

enlace http://myopenid.com

    
respondido por el Steve Dispensa 06.09.2011 - 04:48
fuente
2

Creo que hay un gran riesgo de seguridad. Incluso si es una aplicación para iPhone y Apple la revisó.

Sería bueno si Google introdujera algunos inicios de sesión de alias. Para que pueda configurar un nombre de usuario y contraseña diferente. Con ese nombre de usuario solo se puede acceder a ciertos servicios de google.

Por lo general, me creo una cuenta separada para google reader.

    
respondido por el Sebo 06.09.2011 - 08:44
fuente

Lea otras preguntas en las etiquetas