Recentelijk is bekend geworden dat Google, IBM, Microsoft, VeriSign en Yahoo toegetreden zijn tot de OpenID Foundation board. Dat klinkt gezellig, maar wat is OpenID eigenlijk en waarom kan dit weleens een grote stap zijn richting de realisatie van een veilige digitale identiteit?
OpenID achtergrond
OpenID is ontstaan uit de behoefte om op verschillende web sites met dezelfde identiteit te kunnen inloggen om zo de gebruikerservaring te verhogen.
Een OpenID is een URL, die van mij is cyrille.visser.myopenid.com. Deze URL vertelt dat mijn gebruikersnaam Cyrille Visser is en dat de identity provider MyOpenID.com is.
Als ik nu naar een OpenID ondersteunende site ga, bijvoorbeeld Plaxo, dan kan ik daar mijn OpenID URL opgeven. Plaxo stuurt mij dan door naar myopenid.com waar ik moet inloggen. Tevens stuurt Plaxo een vraag mee waarin verteld wordt aan MyOpenID.com welke gegevens Plaxo graag wil hebben, bijvoorbeeld NAW gegevens.
Nadat ik ingelogd ben op MyOpenID.com en de vraag van Plaxo goedgekeurd heb, word ik weer teruggeleid naar de Plaxo site waar vervolgens Plaxo mij ook ingelogd heeft.
Dit betekent dat ik maar één identiteit hoef te onthouden, namelijk mijn OpenID URL en het bijbehorende wachtwoord. Voor blogs, social networking sites, e.d. is OpenID enorm handig, maar is het ook bruikbaar voor gevoeligere online activiteiten zoals telebankieren en belastingaangiftes?
Dit brengt ons bij het grote nadeel van OpenID. Het is erg gevoelig voor phishing aanvallen. Een site kan mij naar een nep OpenID provider sturen waar ik mijn gegevens achterlaat en vervolgens kan een aanvaller onder mijn naam op diverse blogs posten, mijn flickr foto’s verwijderen en mijn Yahoo mail lezen. Het is dus absoluut noodzakelijk dat de OpenID provider een manier biedt om phishing uit te bannen.
Information card
Een oplossing tegen phishing aanvallen op de OpenID provider is door gebruik te maken van information cards.
Wanneer een gebruiker een information card stuurt om zich te authenticeren dan is deze kaart niet beveiligd door een wachtwoord, maar door een SAML token. Dit token is gesigneerd op basis van de privé sleutel van de gebruiker waardoor de authenticiteit van de gebruiker gegarandeerd wordt.
Voor een aanvaller is er dus geen bruikbare informatie om te onderscheppen, er wordt immers geen wachtwoord ingevuld en de privé sleutel van de gebruiker wordt ook niet meegestuurd.
Samenwerking
Laten we weer terug gaan naar Plaxo. Wederom vul ik mijn OpenID in om in te loggen op de Plaxo site. Plaxo stuurt mij daarna naar MyOpenID.com die ondersteuning heeft voor information cards. Nu laat de information card implementatie van Windows Vista (Cardspace) mij een overzicht van mijn information cards te zien. Ik selecteer een passende kaart en ik word weer teruggeleid naar de Plaxo site waar ik vervolgens ook ingelogd ben.
In bovenstaand scenario werken OpenID en Cardspace samen om een phishing bestendige single sign-on voor internet applicaties mogelijk te maken.
Toekomst
Doordat de grote namen van de IT wereld nu in de OpenID foundation board zitten is er wederom een goede stap gezet op de weg naar een veilige digitale identiteit. Met OpenID hebben we een breed ondersteund en geaccepteerd authenticatie protocol. Dit aangevuld met information card technology (zoals Cardspace en Higgins) biedt de veiligheid tegen phishing aanvallen. Als nu ook nog sterk vertrouwde partijen, zoals banken en overheden, OpenID en information card provider worden….