OpenID

Das OpenID -Logo

OpenID ist ein offener Standard und dezentral Authentifizierung Protokoll von der gemeinnützigen Organisation gefördert OpenID Foundation. Es ermöglicht Benutzern, sich durch Kooperationswebsites (bekannt als bekannt als bekannt als Partys verlassen, oder RP) mit einem IDP-Dienst (Drittanbieter Identity Provider), der die Notwendigkeit beseitigt Webmaster ihre eigenen zur Verfügung stellen ad hoc Login -Systeme und ermöglicht es Benutzern, sich auf mehreren nicht verwandten Websites anzumelden, ohne eine separate Identität und Kennwort für jeden einzelnen zu haben.[1] Benutzer erstellen Konten, indem sie eine OpenID auswählen Identitätsanbieter,[1] und dann verwenden Sie diese Konten, um sich auf einer Website anzumelden, die die OpenID -Authentifizierung akzeptiert. Mehrere große Organisationen stellen OpenIDs auf ihren Websites entweder aus oder akzeptieren sie.[2]

Der OpenID -Standard bietet einen Rahmen für die Kommunikation, die zwischen dem Identitätsanbieter und dem OpenID -Akzeptor (dem "stattfinden muss.Verweigerung der Partei").[3] Eine Erweiterung des Standards (der OpenID -Attributaustausch) erleichtert die Übertragung von Benutzerattributen wie Name und Geschlecht vom OpenID -Identitätsanbieter auf die RELELING -Partei (jede RELELING -Partei kann je nach ihren Anforderungen unterschiedliche Attribute anfordern) .[4] Das OpenID -Protokoll stützt sich nicht auf eine zentrale Behörde, um die Identität eines Benutzers zu authentifizieren. Darüber Smartcards oder Biometrie).

Die endgültige Version von OpenID ist OpenID 2.0, finalisiert und veröffentlicht im Dezember 2007.[5] Der Begriff OpenID kann sich auch auf eine Kennung beziehen, wie im OpenID -Standard angegeben; Diese Kennungen haben die Form eines einzigartigen Einheitliche Ressourcenkennung (URI) und werden von einem "OpenID -Anbieter" verwaltet, der die Authentifizierung übernimmt.[1]

Annahme

Ab März 2016Es gibt über 1 Milliarde OpenID-fähige Konten im Internet (siehe unten), und ungefähr 1.100.934 Websites haben den OpenID-Verbraucherunterstützung integriert:[6] AOL, Flickr, Google, Amazon.com, Kanonisch (Anbietername Ubuntu eins), LiveJournal, Microsoft (Anbietername Microsoft-Konto), Mixi, Mein Platz, Novell, OpenStreetmap, Orange, Sears, Sonne, Telekommunikations -Italia, Universal Music Group, Verisign, WordPress, Yahoo!, das BBC,[7] IBM,[8] Paypal,[9] und Dampf,[10] Obwohl einige dieser Organisationen auch ein eigenes Authentifizierungsmanagement haben.

Viele, wenn nicht alle größeren Organisationen verlangen Benutzer, Authentifizierung in Form eines vorhandenen E -Mail -Kontos oder eines vorhandenen Mobiltelefons bereitzustellen, um sich für ein Konto anzumelden (das dann als OpenID -Identität verwendet werden kann). Es sind mehrere kleinere Einheiten, die Anmeldungen ohne zusätzliche Identitätsdetails akzeptieren.

Facebook benutzte in der Vergangenheit OpenID, zog aber auf Facebook-Verbindung.[11] Blogger benutzte auch OpenID, unterstützt es jedoch seit Mai 2018 nicht mehr.[12]

Technische Übersicht

Ein Endbenutzer ist die Entität, die eine bestimmte Identität geltend machen will. EIN Verweigerung der Partei (RP) ist eine Website oder Anwendung, die den Bezeichner des Endbenutzers überprüfen möchte. Andere Begriffe für diese Partei sind "Dienstleister" oder den jetzt veralteten "Verbraucher". Ein Identitätsanbieter oder OpenID -Anbieter (OP) ist ein Service, der sich auf die Registrierung von OpenID -URLs oder XRIs spezialisiert hat. OpenID ermöglicht es einem Endbenutzer, mit einer Renn -Partei zu kommunizieren. Diese Kommunikation erfolgt durch den Austausch einer Kennung oder OpenID, was das ist URL oder Xri vom Endbenutzer ausgewählt, um die Identität des Endbenutzers zu benennen. Ein Identitätsanbieter bietet die OpenID -Authentifizierung (und möglicherweise andere Identitätsdienste). Der Austausch wird durch a aktiviert User-AgentDas Programm ist das Programm (wie ein Browser), das vom Endbenutzer verwendet wird, um mit der Relying Party und dem OpenID -Anbieter zu kommunizieren.

Einloggen

Der Endbenutzer interagiert mit einer RELELING -Partei (z. B. einer Website), die eine Option bietet, um eine OpenID für die Authentifizierungszwecke anzugeben. Ein Endbenutzer hat in der Regel eine OpenID registriert (z. alice.openid.example.org) mit einem OpenID -Anbieter (z. openID.example.org).[1]

Die Renngruppe verwandelt die OpenID typischerweise in eine kanonische URL -Form (z. http://alice.openid.example.org/).

  • Mit OpenID 1.0 fordert die Relying -Partei dann die von der URL identifizierte HTML -Ressource an und liest ein HTML -Link -Tag, um die URL des OpenID -Anbieters zu entdecken (z. http://openid.example.org/openid-auth.php). Die relying Party entdeckt auch, ob man a verwenden soll delegierte Identität (siehe unten).
  • Mit OpenID 2.0 entdeckt die Relying -Partei die URL OpenID -Anbieter, indem er die anfordert XRDs dokumentieren (auch als die genannt Yadis dokumentieren) mit dem Inhaltstyp Anwendung/XRDS+XML; Dieses Dokument kann bei der Ziel -URL verfügbar sein und ist immer für ein Ziel -XRI verfügbar.

Es gibt zwei Modi, in denen die Renn -Partei mit dem OpenID -Anbieter kommunizieren kann:

  • checkid_immediate, in dem die RELELING -Partei beantragt, dass der OpenID -Anbieter nicht mit dem Endbenutzer interagiert. Die gesamte Kommunikation wird über den Benutzer-Agent des Endbenutzers weitergeleitet, ohne den Endbenutzer explizit zu benachrichtigen.
  • checkid_setup, in dem der Endbenutzer über dieselbe Benutzerverwaltung mit dem OpenID-Anbieter kommuniziert.

Das checkid_immediate Modus kann auf die zurückfallen checkid_setup Modus, wenn der Vorgang nicht automatisiert werden kann.

Erstens errichten die RELELING -Partei und der OpenID -Anbieter (optional) a geteiltes Geheimnis, in Bezug auf eine assoziierter Griff, was die Rennpartei dann speichert. Wenn Sie die verwenden checkid_setup Der Modus, der Relying Party leitet den Benutzer-Agent des Endbenutzers in den OpenID-Anbieter um, sodass der Endbenutzer direkt mit dem OpenID-Anbieter authentifizieren kann.

Die Authentifizierungsmethode kann variieren, aber in der Regel fordert ein OpenID -Anbieter den Endbenutzer für ein Kennwort oder ein kryptografisches Token auf und fragt dann, ob der Endbenutzer der Reling -Partei vertraut, um die erforderlichen Identitätsdetails zu erhalten.

Wenn der Endbenutzer die Anfrage des OpenID-Anbieters lehnt, der Rettungspartei zu vertrauen, wird der Benutzer-Agent mit einer Meldung wieder an die RELELING-Partei umgeleitet, die angibt, dass die Authentifizierung abgelehnt wurde. Die Relying Party weigert sich wiederum, den Endbenutzer zu authentifizieren.

Wenn der Endbenutzer die Anfrage des OpenID-Anbieters entgegennimmt, der Religionspartei zu vertrauen, wird der Benutzer-Agent zusammen mit den Anmeldeinformationen des Endbenutzers wieder in die RELELING-Partei umgeleitet. Diese Verweigerung muss dann bestätigen, dass die Anmeldeinformationen wirklich vom OpenID -Anbieter stammen. Wenn die RELELING -Partei und der OpenID -Anbieter zuvor ein gemeinsames Geheimnis eingerichtet hatten, kann die Religionspartei die Identität des OpenID -Anbieters validieren, indem sie seine Kopie des gemeinsam genutzten Geheimnisses mit dem erhaltenen zusammen mit den Anmeldeinformationen des Endbenutzers vergleicht. Eine solche stützende Partei heißt Staatsbürgerlich Weil es das gemeinsame Geheimnis zwischen den Sitzungen speichert. Dagegen a staatenlos oder Dumm Die Verweigerung der Partei muss eine weitere Hintergrundanfrage stellen (check_authentication) um sicherzustellen, dass die Daten tatsächlich vom OpenID -Anbieter stammten.

Nachdem die OpenID überprüft wurde, wird die Authentifizierung als erfolgreich angesehen und der Endbenutzer wird als angemeldet bei der Renn -Partei unter der von der angegebenen OpenID (z. alice.openid.example.org). Die Relying -Partei speichert in der Regel die OpenID des Endbenutzers zusammen mit den anderen Sitzungsinformationen des Endbenutzers.

Kennungen

Um einen OpenID-fähigen zu erhalten URL Dies kann verwendet werden, um sich bei OpenID-fähigen Websites anzumelden. Ein Benutzer registriert eine OpenID-Kennung mit einem Identitätsanbieter. Identitätsanbieter bieten die Möglichkeit, eine URL (in der Regel eine Domäne auf der dritten Ebene, z. B. username.example.com) zu registrieren, die automatisch mit OpenID-Authentifizierungsdienst konfiguriert werden.

Sobald sie eine OpenID registriert haben, kann ein Benutzer auch eine vorhandene URL unter seiner eigenen Kontrolle (z. B. eine Blog- oder Homepage) als Alias ​​oder "delegierte Identität" verwenden. Sie setzen einfach die entsprechenden OpenID -Tags in die Html[13] oder dienen a Yadis dokumentieren.[14]

Beginnend mit OpenID -Authentifizierung 2.0 (und einigen 1.1 Implementierungen) gibt es zwei Arten von Kennungen, die mit OpenID verwendet werden können: URLs und XRIs.

Xris sind eine neue Form von Internet Kennung speziell für die digitale Cross-Domain-Identität entwickelt. Zum Beispiel gibt es XRIs in zwei Formen -i-names und I-Numbers- Das sind normalerweise gleichzeitig als gleichzeitig registriert wie Synonyme. I-names sind neu zugewiesen (wie Domainnamen), während ich nie zugewiesen wird. Wenn ein XRI I-NAME als OpenID-Kennung verwendet wird, wird er sofort auf das synonyme i-number (das CanonicalID-Element des XRDS-Dokuments) gelöst. Diese I-Anzahl ist die OpenID-Kennung, die von der RELELING-Partei gespeichert wurde. Auf diese Weise werden sowohl der Benutzer als auch die Relying -Partei vor der OpenID -Identität des Endbenutzers von einer anderen Partei geschützt, wie es bei einer URL auf der Grundlage eines neu zugewiesenen DNS -Namens passieren kann.

OpenID Foundation

Die OpenID Foundation (OIDF) fördert und verbessert die OpenID -Community und die Technologien. Die OIDF ist eine gemeinnützige Organisation für internationale Standardsentwicklungsorganisationen einzelner Entwickler, Regierungsbehörden und Unternehmen, die OpenID fördern und schützen möchten. Die OpenID -Stiftung wurde im Juni 2007 gegründet und dient als Organisation für öffentliche Vertrauen, die eine offene Community von Entwicklern, Anbietern und Nutzern vertritt. OIDF unterstützt die Gemeinschaft, indem sie die erforderliche Infrastruktur bereitstellt und bei der Förderung und Unterstützung der Einführung von OpenID unterstützt. Dies beinhaltet die Verwaltung von geistigem Eigentum und Marken sowie ein Förderung des Viruswachstums und die globale Teilnahme an OpenID.

Personen

Der Board of Directors der OpenID Foundation hat sechs Mitglieder des Community Board und acht Unternehmensvorstandsmitglieder:[15]

Kapitel

OIDF ist eine globale Organisation, um die digitale Identität zu fördern und die weitere Einführung von OpenID zu fördern. Die OIDF hat die Schaffung von Mitgliedskapiteln gefördert. Mitgliederkapitel sind offiziell Teil der Stiftung und arbeiten innerhalb ihres eigenen Wahlkreises, um die Entwicklung und Einführung von OpenID als Rahmen für die benutzerzentrierte Identität im Internet zu unterstützen.

Geistiges Eigentum und Beitragsvereinbarungen

Die OIDF stellt sicher, dass die OpenID -Spezifikationen frei umsetzbar sind. Der OIDF verlangt von allen Beitragsbwirkeln, eine Beitragsvereinbarung zu unterzeichnen. Diese Vereinbarung gewährt der Stiftung sowohl eine Urheberrechtslizenz, um die kollektiven Spezifikationen zu veröffentlichen, als auch eine Patent-Nicht-Assiegion-Vereinbarung. In der Nicht-AsSertions-Vereinbarung wird der Mitwirkende nicht für die Umsetzung von OpenID-Spezifikationen verklagt.

Rechtsfragen

Die OpenID -Marke in den Vereinigten Staaten wurde im März 2008 der OpenID Foundation zugeordnet.[16] Es war von Netmesh Inc. registriert worden, bevor die OpenID -Stiftung in Betrieb war.[17][18] In Europa ist die OpenID -Marke zum 31. August 2007 bei der OpenID Europe Foundation registriert.[19]

Das OpenID -Logo wurde von Randy "Ydnar" Reddig entworfen, der 2005 Pläne zum Übertragen der Rechte an eine OpenID -Organisation zum Ausdruck gebracht hatte.[20]

Seit der ursprünglichen Ankündigung von OpenID hat die offizielle Website angegeben:[21]

Niemand sollte das besitzen. Niemand plant, damit etwas Geld zu verdienen. Ziel ist es, jeden Teil davon unter den liberalsten Lizenzen zu veröffentlichen, sodass kein Geld oder keine Lizenzierung oder Registrierung für das Spielen erforderlich ist. Es kommt der Gemeinschaft als Ganzes zugute, wenn so etwas vorhanden ist, und wir sind alle Teil der Gemeinschaft.

Sun Microsystems, Verisign und eine Reihe kleinerer Unternehmen, die an OpenID beteiligt sind Bündel nicht aussagen Abdeckung von OpenID 1.1 Spezifikationen. Die Bündnisse geben an, dass die Unternehmen keine ihrer Patente gegen OpenID -Implementierungen geltend machen und ihre Versprechen von jedem, der Patente gegen OpenID -Implementierer bedroht oder geltend macht, widerrufen wird.[22][23]

Sicherheit

Authentifizierungsfehler

Im März 2012 eine Forschungsarbeit[24] meldete zwei generische Sicherheitsprobleme in OpenID. Beide Probleme ermöglichen es einem Angreifer, sich bei den Reling Party -Konten eines Opfers anzumelden. Für die erste Ausgabe veröffentlichten OpenID und Google (ein Identitätsanbieter von OpenID) beide Sicherheitsberatungen, um sie zu beheben.[25][26] Laut Advisory von Google kann "ein Angreifer eine OpenID -Anfrage gestalten, die nicht nach der E -Mail -Adresse des Benutzers gefragt wird, und dann eine nicht signierte E -Mail -Adresse in die IDPS -Antwort einfügen. Wenn der Angreifer diese Antwort auf eine Website weitergibt, die nicht bemerkt, dass dies dies nicht bemerkt Das Attribut ist nicht signiert, die Website kann dazu gebracht werden, den Angreifer auf einem lokalen Konto zu protokollieren. " Das Forschungspapier behauptet, dass viele beliebte Websites verletzlich sind, einschließlich Yahoo! Post, Smartsheet.com, Zoho, Manymoon.com, Diigo.com. Die Forscher haben die betroffenen Parteien mitgeteilt, die dann ihren gefährdeten Code behoben haben.

Für das zweite Problem bezeichnete das Papier "Datentyp -Verwirrungslogikfehler", mit dem Angreifer auch die RP -Konten der Opfer anmelden können. Google und Paypal wurden anfangs verletzlich bestätigt. OpenID veröffentlichte einen Schwachstellenbericht[27] Auf dem Fehler. Der Bericht besagt, dass Google und PayPal Korrekturen angewendet haben und andere OpenID -Anbieter vorgeschlagen haben, ihre Implementierungen zu überprüfen.

Phishing

Einige Beobachter haben vorgeschlagen, dass OpenID Sicherheitsschwächen aufweist und sich möglicherweise für anfällig für anfällig erweisen kann Phishing Anschläge.[28][29][30] Beispielsweise kann eine böswillige Relaying -Partei den Endbenutzer an eine Scheinidentitätsanbieter -Authentifizierungsseite weiterleiten, in der dieser Endbenutzer aufgefordert wird, ihre Anmeldeinformationen einzugeben. Nach Abschluss dessen könnte die böswillige Partei (die in diesem Fall auch die falsche Authentifizierungsseite kontrolliert) mit dem Identitätsanbieter Zugriff auf das Konto des Endbenutzers und dann diese OpenID des Endbenutzers, um sich bei anderen Diensten anzumelden.

In einem Versuch, mögliche Phishing -Angriffe zu bekämpfen, fordern einige OpenID -Anbieter vor, dass der Endbenutzer vor einem Versuch, sich mit der Relying -Partei zu authentifizieren, mit ihnen authentifiziert werden muss.[31] Dies beruht auf dem Endbenutzer, der die Richtlinie des Identitätsanbieters kennt. Im Dezember 2008 genehmigte die OpenID Foundation Version 1.0 der Anbieter Authentifizierungsrichtlinienerweiterung (Pape Gebraucht."[32]

Datenschutz- und Vertrauensfragen

Andere mit OpenID identifizierte Sicherheitsprobleme beinhalten mangelnde Privatsphäre und das Versäumnis, die zu beheben Vertrauensproblem.[33] Dieses Problem ist jedoch nicht nur für OpenID und lediglich der Zustand des Internets, wie häufig verwendet.

Der Identitätsanbieter erhält jedoch ein Protokoll Ihrer OpenID -Anmeldungen. Sie wissen, wann Sie sich über die Website angemeldet haben, und machen Cross-Site-Verfolgung viel einfacher. Ein kompromittiertes OpenID -Konto ist wahrscheinlich auch eine schwerwiegendere Verletzung der Privatsphäre als ein kompromittiertes Konto auf einer einzelnen Site.

Authentifizierungsbeherrschung in ungesicherter Verbindung

Eine weitere wichtige Sicherheitsanfälligkeit ist im letzten Schritt im Authentifizierungsschema vorhanden, wenn TLS/SSL nicht verwendet wird: die Umleitung des Identitätsanbieters bis zur Rennpartei. Das Problem bei dieser Umleitung ist die Tatsache, dass jeder, der diese URL erhalten kann (z. B. durch Schnüffeln des Drahtes), sie wiederholen und als Opferbenutzer auf der Website angemeldet werden kann. Einige der Identitätsanbieter verwenden Nonces (Number einmal verwendet), damit sich ein Benutzer einmal auf der Website anmelden und alle aufeinanderfolgenden Versuche nicht bestehen kann. Die Nonce -Lösung funktioniert, wenn der Benutzer der erste ist, der die URL verwendet. Ein schneller Angreifer, der am Draht schnüffelt, kann jedoch die URL erhalten und die TCP -Verbindung eines Benutzers sofort zurücksetzen (als Angreifer schnüffelt den Draht und kennt die erforderlichen TCP -Sequenznummern) und führt dann den Replay -Angriff wie oben beschrieben aus. So schützen Nonces nur vor passiven Angreifern, können jedoch nicht verhindern, dass aktive Angreifer den Wiederholungsangriff ausführen.[34] Die Verwendung von TLS/SSL im Authentifizierungsprozess kann dieses Risiko erheblich verringern.

Dies kann als:

  Wenn (sowohl RP1 als auch RP2 Bob als Client haben) und // ein gemeinsamer Fall (Bob verwendet dasselbe IDP mit RP1 und RP2) und // ein gemeinsamer Fall (RP1 verwendet nicht VPN/SSL/TLS, um ihre Verbindung zu sichern mit dem Client) // vermeidbar! Dann könnte RP2 Anmeldeinformationen erhalten

Verdeckte Umleitung

Am 1. Mai 2014, ein Fehler, der genannt wird "Verdeckte Umleitung im Zusammenhang mit OAuth 2.0 und OpenID "wurde offengelegt.[35][36] Es wurde vom Mathematik -Doktorand Wang Jing an der Schule für physische und mathematische Wissenschaften entdeckt. Technische Universität Nanyang, Singapur.[37][38][39]

Die Ankündigung von OpenID lautet: "" Covert Redirect ", das im Mai 2014 bekannt gemacht wurde Umleitungen, um diese Sicherheitsanfälligkeit zu verhindern. "[40]

"Der allgemeine Konsens ist bisher, dass verdeckte Umleitung nicht so schlimm ist, sondern immer noch eine Bedrohung. Verstehen, was sie gefährlich macht, erfordert ein grundlegendes Verständnis der offenen Umleitung und wie es genutzt werden kann."[41]

Ein Patch wurde nicht sofort zur Verfügung gestellt. Ori Eisen, Gründer, Vorsitzender und Chief Innovation Officer von 41. Parameter gegenüber Sue Marquette Poremba: "In jedem verteilten System zählen wir die gute Natur der Teilnehmer, um das Richtige zu tun. In Fällen wie OAuth und OpenID ist die Verteilung die Verteilung Es ist so groß, dass es unangemessen ist, in naher Zukunft jede einzelne Website zu erwarten. "[42]

Geschichte

Das ursprüngliche OpenID -Authentifizierungsprotokoll wurde im Mai 2005 entwickelt[43] durch Brad Fitzpatrick, Schöpfer der beliebten Community -Website LiveJournalwährend der Arbeit bei Sechs auseinander.[44] Ursprünglich als Yadis bezeichnet (ein Akronym für "ein weiteres verteiltes Identitätssystem"),[45] Es wurde OpenID nach der OpenID.net genannt Domainname wurde sechs getrennt für das Projekt gegeben.[46] OpenID -Unterstützung wurde bald implementiert LiveJournal und Kollegen LiveJournal Motor Gemeinschaft Deadjournal Für Blog -Post -Kommentare und schneller Aufmerksamkeit in der digitalen Identitätsgemeinschaft.[47][48] Web-Entwickler Janrain war ein früher Unterstützer von OpenID, der OpenID sorgte Software -Bibliotheken und Erweiterung seines Geschäfts in Bezug auf OpenID-basierte Dienstleistungen.

Ende Juni begannen die Diskussionen zwischen OpenID -Benutzern und Entwicklern von Unternehmenssoftware Unternehmen Netmesh, was zu einer Zusammenarbeit zur Interoperabilität zwischen OpenID und Netmeshs ähnlich führt Leichte Identität (LID) Protokoll. Das direkte Ergebnis der Zusammenarbeit war die Yadis Entdeckungsprotokoll, das den ursprünglich für OpenID verwendeten Namen übernimmt. Der neue Yadis wurde am 24. Oktober 2005 bekannt gegeben.[49] Nach einer Diskussion im Jahr 2005 Internet -Identitäts -Workshop ein paar Tage später, Xri/i-names Entwickler schlossen sich dem Yadis -Projekt an,[50] Beiträge ihrer erweiterbaren Ressourcendeskriptorsequenz (XRDs) Format zur Verwendung im Protokoll.[51]

Im Dezember begannen Entwickler von SXIP Identity Diskussionen mit der OpenID/Yadis -Community[52] Nach einer Verschiebung der Entwicklung von Version 2.0 seines einfachen erweiterbaren Identitätsprotokolls (SXIP) zu URL-basierten Identitäten wie Deckel und OpenID.[53] Im März 2006 entwickelte Janrain eine einfache Erweiterung (Simple Registration) für OpenID, um primitives Profilabsteig zu aktivieren[54] und im April einen Vorschlag zur Formalisierung von Erweiterungen an OpenID eingereicht. Im selben Monat hatte auch die Arbeiten begonnen, voll zu integrieren Xri Unterstützung in OpenID.[55] Anfang Mai wichtiger OpenID -Entwickler David Recordon Sechs getrennt gelassen und Verisign anschließen, um sich mehr auf die digitale Identität und Anleitung für die OpenID -Spezifikation zu konzentrieren.[48][56] Bis Anfang Juni wurden die Hauptunterschiede zwischen den SXIP 2.0- und OpenID -Projekten mit der Vereinbarung gelöst, mehrere Personas in OpenID durch Einreichung einer Identitätsanbieter -URL und nicht einer vollständigen Identitäts -URL zu unterstützen. Damit sowie die Hinzufügung von Erweiterungen und XRI-Unterstützung entwickelte sich OpenID zu einem vollwertigen Rahmen für digitale Identität, wobei Recordon "Wir sehen OpenID als Dach für den Rahmen, der die Ebenen für Identifikatoren, Entdeckung, Entdeckung, umfasst, und enthält, Entdeckung, Entdeckung, Authentifizierung und eine Messaging -Diensteschicht, die auf der anderen Seite sitzt und diese Ganze sozusagen als "OpenID 2.0" genannt wurde.[57] "Ende Juli begann SXIP, sein DIX -Protokoll (Digital Identity Exchange) in OpenID zu verschmelzen und im August 2006 Anfang 2006 erste Entwürfe der OpenID -Attribut -Exchange -Erweiterung (AX) zu übermitteln, a ZDNET Meinungsgegenstände für Benutzer, Website -Betreiber und Unternehmer für OpenID.[58]

Am 31. Januar 2007, Symantec Kündigungsunterstützung für OpenID in seinen Identitätsinitiativprodukten und -dienstleistungen.[59] Eine Woche später, am 6. Februar Microsoft machte eine gemeinsame Ankündigung mit Janrain, SXIP und Verisign, um mit der Interoperabilität zwischen OpenID und Microsoft zusammenzuarbeiten Windows Cardspace Digitale Identitätsplattform mit besonderem Schwerpunkt auf der Entwicklung einer phishing-resistenten Authentifizierungslösung für OpenID. Im Rahmen der Zusammenarbeit versprach Microsoft, OpenID in seinen zukünftigen Identity Server -Produkten und Janrain, SXIP und Verisign zu unterstützen, um die Unterstützung für Microsoft zu erhöhen Informationskarte Profil zu ihren zukünftigen Identitätslösungen.[60] Mitte Februar, AOL kündigte an, dass ein experimenteller OpenID -Anbieterdienst für alle AOL und für alle AOL und funktional war AOL Instant Messenger (Ziel) Konten.[61]

Im Mai, Sun Microsystems begann mit der OpenID -Community zusammenzuarbeiten und ein OpenID -Programm anzukündigen,[62] Neben dem Eintritt in einen nicht in der OpenID-Community in einen Nicht-Assiegionion-Bund eingreift, verspricht sie, keine seiner Patente gegen Implementierungen von OpenID zu gründen.[22] Im Juni gründete OpenID Leadership die OpenID Foundation, einen in Oregon ansässigen Basis öffentliche Leistungsgesellschaft für die Verwaltung der Marke und Immobilie von OpenID.[63] Im selben Monat wurde in Belgien eine unabhängige OpenID Europe Foundation gebildet[64] von snorri giorgetti. Bis Anfang Dezember wurden Nicht-Assiegion-Vereinbarungen von den Hauptbeiträgen des Protokolls gesammelt, und die endgültige OpenID-Authentifizierung 2.0 und OpenID-Attributaustausch 1.0 wurden am 5. Dezember ratifiziert.[65]

Mitte Januar 2008, Yahoo! kündigte den ersten OpenID 2.0 -Support an, sowohl als Anbieter als auch als RELELING -Partei, um den Anbieterdienst bis Ende des Monats zu veröffentlichen.[66] Anfang Februar, Google, IBM, Microsoft, Verisign und Yahoo! trat der OpenID Foundation als Corporate Board -Mitglieder bei.[67] Anfang Mai, SourceForge, Inc. Einführte OpenID -Anbieter und REBRELE -Party -Unterstützung für die führende Website für Open -Source -Softwareentwicklung SourceForge.net.[68] Ende Juli beliebt Social Network Service Mein Platz Ankündigte Unterstützung für OpenID als Anbieter.[69] Ende Oktober hat Google Unterstützung als OpenID -Anbieter gestartet, und Microsoft kündigte dies an Windows Live ID würde OpenID unterstützen.[70] Im November kündigte Janrain einen kostenlosen gehosteten Service, RPX Basic, an, mit dem Websites OpenIDs für die Registrierung und Anmeldung annehmen können, ohne die OpenID -Open -Source -Bibliotheken zu installieren, zu integrieren und zu konfigurieren.[71]

Im Januar 2009 trat Paypal als Unternehmensmitglied der OpenID Foundation bei, gefolgt von Facebook im Februar. Die OpenID -Stiftung gründete ein Exekutivkomitee und ernannte Don Thibeau zum Exekutivdirektor. Im März startete MySpace ihren zuvor angekündigten OpenID -Anbieterdienst, sodass alle MySpace -Benutzer ihre MySpace -URL als OpenID verwenden können. Im Mai startete Facebook seine Relying Party -Funktionalität,[72][73] Wenn Benutzer ein automatisches Anmeldekonto (z. B. Google) verwenden können, um sich bei Facebook anzumelden.[74]

Im September 2013, Janrain kündigte an, dass myopenid.com am 1. Februar 2014 geschlossen wird. Ein Kreisdiagramm zeigte Facebook und Google dominiert den sozialen Anmeldungsraum zum zweiten Quartal 2013.[75] Facebook hat seitdem OpenID verlassen; Es ist kein Sponsor mehr, der im Vorstand vertreten ist oder OpenID -Logins erlaubt.[15][76]

Im Mai 2016 kündigte Symantec an, ihren Pip.veriSignLabs.com OpenID Personal Identity Portal Service einzustellen.[77][78]

Im März 2018 kündigte Stack Overflow ein Ende der OpenID -Support an, wobei die unzureichende Nutzung angeführt wurde, um die Kosten zu rechtfertigen. In der Ankündigung wurde festgestellt, dass die Benutzer aufgrund von Aktivitäten Facebook, Google und E-Mail/Passwort-basierte Kontoauthentifizierung dringend bevorzugen.[79]

OpenID gegen Pseudo-Authentifizierung mit OAuth

OpenID ist eine Möglichkeit, einen einzelnen Satz von Benutzeranmeldeinformationen zu verwenden, um auf mehrere Websites zuzugreifen OAuth Erleichtert die Genehmigung einer Website, um auf Informationen zum Benutzerkonto auf einer anderen Website zuzugreifen und zu verwenden. Obwohl OAuth keiner ist Authentifizierung Protokoll, es kann als Teil von einem verwendet werden.

Die Authentifizierung im Kontext eines Benutzers, der auf eine Anwendung zugreift, gibt einer Anwendung mit, wer der aktuelle Benutzer ist und ob sie vorhanden sind oder nicht. [...] Die Authentifizierung dreht sich alles um den Benutzer und seine Präsenz bei der Anwendung, und ein Authentifizierungsprotokoll im Internetmaßstab muss in der Lage sein, dies über Netzwerk- und Sicherheitsgrenzen hinweg zu tun.

OAuth erzählt der Anwendung jedoch nichts davon. OAuth sagt absolut nichts über den Benutzer und sagt auch nicht, wie der Benutzer seine Anwesenheit bewiesen hat oder ob er noch da ist. Was einen OAuth -Kunde betrifft, forderte er nach einem Token, bekam ein Token und benutzte schließlich dieses Token, um auf eine API zuzugreifen. Es weiß nichts darüber, wer die Anwendung autorisiert hat oder ob es dort überhaupt einen Benutzer gab. Tatsächlich geht es bei OAuth mit diesem delegierten Zugriff für die Verwendung in Situationen, in denen der Benutzer nicht auf der Verbindung zwischen dem Client und der zugegriffenen Ressource vorhanden ist. Dies ist ideal für die Kundenautorisierung, aber es ist wirklich schlecht für die Authentifizierung, wenn der springende Punkt herausgefunden wird, ob der Benutzer da ist oder nicht (und wer sie sind).[80]

Die folgende Zeichnung unterstreicht die Unterschiede zwischen der Verwendung von OpenID versus OAuth zur Authentifizierung. Beachten Sie, dass mit OpenID der Prozess mit der Anwendung beginnt das Haus) im Namen des Benutzers. Wenn der Benutzer diesen Zugriff gewähren kann, kann die Anwendung die eindeutige Kennung für das Erstellen des Profils (Identität) mithilfe der APIs abrufen.

OpenID vs. Pseudo-Authentication using OAuth

Angriff gegen Pseudo-Authentifizierung

OpenID bietet einen kryptografischen Überprüfungsmechanismus, der den folgenden Angriff gegen Benutzer verhindert, die OAuth für die Authentifizierung missbrauchen.

Beachten Sie, dass der Valet -Schlüssel den Benutzer in keiner Weise beschreibt, sondern nur begrenzte Zugriffsrechte für ein Haus (was nicht unbedingt der des Benutzers ist, sie hatten nur einen Schlüssel). Wenn der Schlüssel kompromittiert wird (der Benutzer ist böswillig und gelingt es, den Schlüssel zum Haus eines anderen zu stehlen), kann der Benutzer den Hausbesitzer an die Anwendung ausgeben, die seine Authentizität anforderte. Wenn der Schlüssel durch einen Punkt in der Vertrauenskette beeinträchtigt wird, kann ein böswilliger Benutzer ihn abfangen und verwenden, um Benutzer X für jede Anwendung zu haben, die sich auf OAuth2 für die Pseudo -Authentifizierung gegen denselben OAuth -Autorisierungsserver stützt. Umgekehrt enthält das notarielles Brief die Signatur des Benutzers, die von der anforderenden Anwendung gegen den Benutzer überprüft werden kann, sodass dieser Angriff nicht tragfähig ist.[81]

Überprüfung des Briefes

Der Brief kann verwenden Kryptographie der Öffentlichkeit authentifiziert werden.

  • Die anforderende Anwendung bietet dem Benutzer den öffentlichen Schlüssel für die Verschlüsselung, die dem Authentifizierungsserver sie zur Verfügung stellt.
  • Der Authentifizierungsserver verschlüsselt ein Dokument, das einen Verschlüsselungsschlüssel enthält, der einem Einweg-Hash eines Geheimnisses entspricht, den der Benutzer kennt (z. B. Passphrase) für Challenge -Reaktion Verwenden des öffentlichen Schlüssels der Anwendung.
  • Der Benutzer gibt das verschlüsselte Dokument an die Anwendung zurück, die es entschlüsselt.
  • Die Anwendung verschlüsselt eine zufällige Phrase unter Verwendung des empfangenen Verschlüsselungsschlüssels und bittet, dass der Benutzer dasselbe tut, und vergleicht dann die Ergebnisse. Wenn er übereinstimmt, ist der Benutzer authentisch.

OpenID Connect (OIDC)

OpenID Connect, das im Februar 2014 von der OpenID Foundation veröffentlicht wurde, ist die dritte Generation von OpenID -Technologie. Es ist eine Authentifizierungsschicht über dem OAuth 2.0 Autorisierungsrahmen.[82] Das Berechnen von Clients kann die Identität eines Endbenutzers basierend auf der Authentifizierung eines Autorisierungsservers prüfen und die grundlegenden Profilinformationen über den Endbenutzer in interoperabler und ruhiger Weise erhalten. In technischer Hinsicht gibt OpenID Connect eine erholsame HTTP -API unter Verwendung JSON als Datenformat.

OpenID Connect ermöglicht eine Reihe von Parteien, einschließlich webbasierter, mobiler und JavaScript-Clients, Informationen zu authentifizierten Sitzungen und Endbenutzern anzufordern und zu empfangen. Die OpenID -Connect -Spezifikation ist erweiterbar und unterstützt optionale Funktionen wie die Verschlüsselung von Identitätsdaten, die Entdeckung von OpenID -Anbietern und das Sitzungsmanagement.

Siehe auch

Verweise

  1. ^ a b c d Eldon, Eric (2009-04-14). "Single Sign-On-Service OpenID bekommt mehr Nutzung". ventureBeat.com. Abgerufen 2009-04-25.
  2. ^ "Was ist eine OpenID?". Abgerufen 19. Juni 2014.
  3. ^ "OpenID -Authentifizierung 2.0 Spezifikation - endgültig". Abgerufen 2011-10-24.
  4. ^ "OpenID Attribut Exchange 1.0 - Finale". Abgerufen 2011-10-24.
  5. ^ "OpenID -Authentifizierung 2.0 - Finale". 2007-12-05. Abgerufen 2014-05-18.
  6. ^ "OpenID -Nutzungsstatistik".
  7. ^ Bashburn, Bill (2008-04-22). "BBC beiträgt die OpenID Foundation bei".
  8. ^ "Technologieführer beitreten an der OpenID Foundation, um das Open -Identity -Management im Web zu fördern.". 2008-02-07.
  9. ^ "PayPal Access verwendet OpenID 2.0". OpenID ·. Abgerufen 19. Juni 2014.
  10. ^ "Steam Community :: Steam Web API -Dokumentation". Abgerufen 2012-02-10.
  11. ^ Perez, Juan Carlos. "Facebook, Google -Programme für Datenportierbarkeitsprogramme für alle". Network World, Inc.. Abgerufen 19. Juni 2014.
  12. ^ "Es ist Frühlingsreinigungszeit für Blogger". Blogger -Team. Abgerufen 10. September 2019.
  13. ^ "OpenID -Authentifizierung 1.1#Delegation".
  14. ^ Paul Tarjan. "Einfache OpenID -Delegation mit Yadis". Archiviert von das Original am 2009-07-04. Abgerufen 2009-06-30.
  15. ^ a b "Führung". OpenID Foundation. Abgerufen 19. Juni 2014.
  16. ^ "Markenaufgabe, Seriennummer: 78899244". US -amerikanisches Patent- und Markenbüro. 2008-05-06. Abgerufen 2008-05-19. Exec DT: 27.03.2008
  17. ^ "Neueste Statusinformationen". US -amerikanisches Patent- und Markenbüro. 2006-03-27. Abgerufen 2008-03-20.
  18. ^ "NetMesh: Unternehmen / Management". Netmesh. Archiviert von das Original Am 2007-08-30. Abgerufen 2008-03-20.
  19. ^ "OpenID Europe Marken- und Logo -Politik". OpenID Europe Foundation. Archiviert von das Original am 2008-03-09. Abgerufen 2008-03-20.
  20. ^ Reddig, Randy (2005-06-29). "OpenID -Logo". Danga interaktiv. Abgerufen 2008-03-20.
  21. ^ Fitzpatrick, Brad. "Geistiges Eigentum".
  22. ^ a b "Sun OpenID: Nicht-AsSertion-Bund". Sun Microsystems. Abgerufen 2008-03-20.
  23. ^ "Verisigns OpenID-Nicht-AsSertion-Patentbund". Verisign. Archiviert von das Original am 2008-04-15. Abgerufen 2008-03-20.
  24. ^ Rui Wang; Shuo Chen & Xiaofeng Wang. "Unterschreiben Sie mich über Facebook und Google auf Ihre Konten: Eine verkehrsgeführte Sicherheitsstudie von kommerziell bereitgestellten Einzelsignal-Webdiensten".
  25. ^ "Attributaustausch -Sicherheitswarnung".
  26. ^ "Sicherheitsberatung für Websites mithilfe von OpenID -Attributaustausch".
  27. ^ "Schwachstellenbericht: Datenverwirrung".
  28. ^ Crowley, Paul (2005-06-01). "Phishing -Angriffe auf OpenID". Danga interaktiv. Abgerufen 2008-03-20.
  29. ^ Anderson, Tim (2007-03-05). "OpenID noch offen für Missbrauch". Es Woche. Abgerufen 2007-03-13.
  30. ^ Slot, Marco. "Anfängerleitfaden für OpenID Phishing". Abgerufen 2007-07-31.
  31. ^ "Verisign PIP FAQ". Archiviert von das Original am 2008-11-13. Abgerufen 2008-11-13.
  32. ^ Jones, Mike. "Pape als OpenID -Spezifikation genehmigt". OpenID Foundation.
  33. ^ Stefan Brands (2007-08-22). "Das Problem mit OpenID". Archiviert von das Original Am 2011-05-16. Abgerufen 2010-12-12. (Ursprünglich in der Identitätsecke unter www.idcorner.org/?p=161 veröffentlicht)
  34. ^ Tsyrklevich, Eugene. "Single Sign-On für das Internet: Eine Sicherheitsgeschichte" (PDF). Blackhat USA. Abgerufen 2012-04-19.
  35. ^ "Ernsthafter Sicherheitsfehler in Oauth, OpenID entdeckt". CNET. 2. Mai 2014. Abgerufen 10. November 2014.
  36. ^ "Verdeckte Umleitung". Tetraph. 1. Mai 2014. Abgerufen 10. November 2014.
  37. ^ "Facebook, Google -Benutzer, die von einem neuen Sicherheitsfehler bedroht sind". Yahoo. 2. Mai 2014. Abgerufen 10. November 2014.
  38. ^ "Böse verdeckte Umleitungsanfälligkeit in OAuth und OpenID.". Die Hacker News. 3. Mai 2014. Abgerufen 10. November 2014.
  39. ^ "Mathematikstudent erkennt OAuth, OpenID Security Schwachstellen". TECH XPLORE. 3. Mai 2014. Abgerufen 10. November 2014.
  40. ^ "Verdeckte Umleitung". OpenID. 15. Mai 2014. Abgerufen 10. November 2014.
  41. ^ ""Covert Redirect" -Anfälligkeit wirkt sich auf OAuth 2.0 aus, OpenID ". SC -Magazin. 2. Mai 2014. Abgerufen 10. November 2014.
  42. ^ "Lektionen, die aus verdeckter Umleitung gelernt werden müssen". 41. Parameter. 5. Mai 2014. Abgerufen 10. November 2014.
  43. ^ Fitzpatrick, Brad (2005-05-16). "Verteilte Identität: Yadis". LiveJournal. Archiviert von das Original am 2006-05-04. Abgerufen 2008-03-20.
  44. ^ Waters, John K (2007-12-01). "OpenID aktualisiert die Identitätsspezifikation". Redmond Developer News. Archiviert von das Original am 2008-02-08. Abgerufen 2008-03-20.
  45. ^ "Glossar". LiveJournal Server: Technische Informationen. Abgerufen 13. Oktober 2009.
  46. ^ Lehn, David I. (18. Mai 2005). "18. Mai 2005". Advogato -Blog für Dlehn. Advogato. Archiviert von das Original am 21. Dezember 2010. Abgerufen 13. Oktober 2009. Sie suchten nach einem Namen und schafften es, mir eine E -Mail über OpenID.net zu senden, bevor ich ihn ihnen anbieten wollte. Also gab ich es ihnen für das neue und verbesserte OpenID -Projekt.
  47. ^ "OpenID: Ein tatsächlich verteiltes Identitätssystem". 2005-09-24. Archiviert von das Original am 2005-09-24. Abgerufen 2008-03-20.
  48. ^ a b Fitzpatrick, Brad (2006-05-30). "Brads Leben - OpenID und Sixapart". LiveJournal. Archiviert von das Original am 2007-04-25. Abgerufen 2008-03-20.
  49. ^ Recordon, David (2005-12-24). "Yadis ankündigen ... wieder". Danga interaktiv. Abgerufen 2008-03-20.
  50. ^ Reed, Dummond (2005-12-31). "Implementieren von Yadis ohne neue Software". Danga interaktiv. Abgerufen 2008-03-20.
  51. ^ Reed, Drummond (2008-11-30). "Xrd beginnt". Gleich Drummond. Abgerufen 5. Januar 2009.
  52. ^ Hardt, Dick (2005-12-18). "SXIP Bedenken mit Yadis". Danga interaktiv. Abgerufen 2008-03-20.
  53. ^ Hardt, Dick (2005-12-10). "SXIP 2.0 Teaser". Identität 2.0. Archiviert von das Original am 2007-08-14. Abgerufen 2008-03-20.
  54. ^ Hoyt, Josh (2006-03-15). "OpenID + Einfacher Registrierungsinformationsaustausch". Danga interaktiv. Abgerufen 2008-03-20.
  55. ^ Gray, Victor (2006-04-02). "Vorschlag für ein XRI (I-NAME) -Profil für OpenID". Danga interaktiv. Abgerufen 2008-03-20.
  56. ^ Recordon, David (2006-04-29). "Movin 'on ..." LiveJournal. Archiviert von das Original Am 2006-10-20. Abgerufen 2008-03-20.
  57. ^ Recordon, David (2006-06-16). "OpenID vorwärts bewegen". Danga interaktiv. Abgerufen 2008-05-19.
  58. ^ Johannes Ernst und David Recordon. Herausgeber: Phil Becker (2006-12-04). "Der Fall für OpenID". ZDNET. Abgerufen 2010-12-12. {{}}: |author= hat generischen Namen (Hilfe)
  59. ^ "Symantec enthüllt die Identitätsinitiative der Sicherheit 2.0 auf der Demo 07 -Konferenz". Symantec. 2007-01-31. Abgerufen 2008-03-20.
  60. ^ Graves, Michael (2007-02-06). "Verisign, Microsoft & Partners, um zusammen auf OpenID + Cardspace zusammenzuarbeiten". Verisign. Archiviert von das Original am 2008-05-03. Abgerufen 2008-03-20.
  61. ^ Panzer, John (2007-02-16). "AOL und 63 Millionen OpenIDs". AOL Entwicklernetzwerk. Archiviert von das Original am 2008-05-11. Abgerufen 2008-03-20.
  62. ^ "Sun Microsystems kündigt ein OpenID -Programm an". PR Newswire. 2007-05-07. Abgerufen 2008-03-20.
  63. ^ OpenID Board of Directors (2007-06-01). "OpenID Foundation". Abgerufen 2008-03-20.
  64. ^ OpenID Europe Foundation
  65. ^ "OpenID 2.0 ... endgültig (ly)!". OpenID Foundation. 2007-12-05. Abgerufen 2008-03-20.
  66. ^ "Yahoo! kündigt Unterstützung für OpenID an; Benutzer können mit ihrer Yahoo! ID auf mehrere Internet -Websites zugreifen.". Yahoo!. 2008-01-17. Archiviert von das Original am 2008-03-04. Abgerufen 2008-03-20.
  67. ^ "Technologieführer beitreten an der OpenID Foundation, um das Open -Identity -Management im Web zu fördern.". OpenID Foundation. Marktwire. 2008-02-07. Abgerufen 2008-03-20.
  68. ^ "SourceForge implementiert OpenID -Technologie" (Pressemitteilung). Sourceforge, Inc. 7. Mai 2008. archiviert von das Original am 13. Mai 2008. Abgerufen 2008-05-21.
  69. ^ "MySpace kündigt Unterstützung für" OpenID "an und führt neue Implementierungen für Datenverfügbarkeit ein". Geschäftsdraht. Mein Platz. 2008-07-22. p. 2. Abgerufen 2008-07-23.
  70. ^ "Microsoft und Google geben den OpenID -Support an". OpenID Foundation. 2008-10-30.
  71. ^ "Janrain veröffentlicht eine kostenlose Version der branchenführenden OpenID -Lösung" (Pressemitteilung). Janrain, Inc. 14. November 2008. Archiviert von das Original am 18. Dezember 2008. Abgerufen 2008-11-14.
  72. ^ "Facebook -Entwickler | Facebook Developers News". Entwickler.facebook.com. 2009-05-18. Archiviert von das Original am 2009-12-23. Abgerufen 2009-07-28.
  73. ^ "Facebook akzeptiert jetzt Google -Konto -Anmeldungen". Pocket-Lint.com. 2009-05-19. Abgerufen 2009-07-28.
  74. ^ "OpenID -Anforderungen - Facebook -Entwickler Wiki". Wiki.developers.facebook.com. 2009-06-26. Archiviert von das Original am 2009-12-23. Abgerufen 2009-07-28.
  75. ^ Kane, Zee M (4. September 2013). "Myopenid zum Schließen. Wird am 1. Februar 2014 ausgeschaltet sein". Das nächste Web. Abgerufen 5. September 2013.
  76. ^ "OpenID -Sponsor -Mitglieder". Abgerufen 17. April 2014.
  77. ^ "Das Personalidentifikationsportal von Symantec gibt an, dass der Service am 12. September 2016 eingestellt wird". Archiviert von das Original am 11. Juni 2016. Abgerufen 17. Mai 2016.
  78. ^ "Ist Symantec nicht schwer, Google zu sein?". 7. Mai 2016. Abgerufen 17. Mai 2016.
  79. ^ "Die Unterstützung für OpenID endete am 25. Juli 2018".
  80. ^ "Benutzerauthentifizierung mit OAuth 2.0". OAuth.net. Abgerufen 19. März 2015.
  81. ^ "Warum ist es eine schlechte Idee, Plain OAuth2 zur Authentifizierung zu verwenden?". Austausch für Informationssicherheitsstapel. Abgerufen 7. Juli 2018.
  82. ^ "OpenID Connect FAQ und Q & AS AS". Abgerufen 25. August 2014.

Externe Links