Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 45 reacties

De groepering achter het identiteitsframework OpenID heeft bekendgemaakt dat het systeem met het Internet Adresboek zijn intrede heeft gedaan in Nederland. OpenID moet het beheren van online identiteiten en het inloggen bij verschillende diensten gemakkelijker maken.

Met OpenID moet men met behulp van een enkele url bij verschillende sites en diensten kunnen inloggen, zonder voor elk account afzonderlijk wachtwoorden of persoonsgegevens te hoeven bewerken. Het concept vertoont daarmee gelijkenissen met Windows Cardspace en Microsofts Passport, maar kent als belangrijk verschil met deze diensten is dat OpenID geen commerciŽle belangen heeft. Verschillende partijen, waaronder Microsoft, AOL en Digg.com, hebben al aangekondigd OpenID te gaan ondersteunen. Met het Internet Adresboek betreedt de dienst nu ook het Nederlandse landschap. Deze dienst laat gebruikers toe allerlei online adressen en informatie van een persoon op te zoeken en met de OpenID-ondersteuning moet het gemakkelijker worden deze identiteiten te beheren en up-to-date te houden.

Cardspace
Moderatie-faq Wijzig weergave

Reacties (45)

OpenID is juist niet simpel te hacken -- het is een gedistribueerd systeem: je kunt bij wijze van spreken een server hacken, maar je zult nooit alle identities van iedereen hebben. Hooguit die die op die server staan.

Ook krijg je als 'consumer' (partij die OpenID-logins aanbiedt op zijn site) nooit een wachtwoord van de gebruiker oid te zien: dit gebeurt allemaal op je OpenID-server (waar iedereen in principe zijn eigen versie van zou kunnen draaien).
Zoals het er nu naar uitziet krijgt Firefox 3 ook standaard OpenID ondersteuning.
Ik gebruik OpenID nu al een tijdje op mijn eigen blog en voor andere blogs, en ik moet zeggen dat het wel zo makkelijk is om '1 account' voor meerdere blogs te hebben. Je eigen (single-user) OpenID provider opzetten is dan ook zo gebeurt als je een webservertje hebt met php erop: http://siege.org/projects/phpMyID
Wow, de meeste mensen hier zijn duidelijk niet zo goed op de hoogte van wat OpenID inhoudt. Overigens een beetje jammer dat de titel van dit verhaal ook een behoorlijk grote hoeveelheid KAK behelst; OpenID is al een paar maanden bezig aan een grote opmars, er was al eerder een Nederlandse provider, maar het is sowieso eenvoudig om zelf een provider of te zetten of bij je nieuwe website een consumer te maken. (Er is overigens geen enkele reden waarom je niet gewoon je LiveJournal of een ander internationaal OpenID op Nederlandse websites kunt gebruiken.)

Nog even voor de duidelijkheid: bij OpenID is het niet zo dat je al je passwords op een plek bewaart. In plaats daarvan heb je 1 URL (die functioneert als username) en 1 wachtwoord (bij de provider, die de URL en je bijbehorende account levert). Consumers (websites waar je via OpenID kunt inloggen) sturen je even door naar de site van je provider, waar je kunt inloggen (tenzij je er al ingelogd bent) en waar je kunt aangeven of je je gegevens (NIET je wachtwoord, maar bijvoorbeeld je email-adres) wilt delen met de website (de consumer) waar je probeert in te loggen.

Het is dus een vrij elegante oplossing, omdat je maar bij 1 service een wachtwoord hebt dat je hoeft te onthouden, terwijl je toch bij allerlei verschillende websites kunt inloggen. Hierbij wordt je password alleen uitgewisseld tussen jou en je provider.
Hierbij wordt je password alleen uitgewisseld tussen jou en je provider.
Ten minste...dat is de bedoeling :Y)
Hoe veilig is het gebruik wel niet van zoiets? Als daar mijn (potientiele) account gekraakt wordt kan ik de schade niet overzien..
Wel, het is net zo veilig (of zelfs veiliger) dan Microsoft's PassPort.

Het voordeel van OpenID tegenover andere oplossingen (zoals Passport) is dat OpenID je informatie decentraliseerd zodat dat niet iedereen zomaar de database van iedereen kan verkrijgen (hack of niet) en doorsnuffelen. Passport houdt alles bij centraal op 1 service, en klanten die groot genoeg zijn (zoals 1 van de bedrijven waar ik werkte die in dienst van Microsoft, oa. een MSN server host), kunnen tot de data te pas en te onpas toegang verkrijgen.

Hoe het werkt (als ik het goed herinner, zoek het op voor de zekerheid). Je kiest een OpenID provider (kan je ISP zijn, of je eigen server als je niemand vertrouwt), deze gaan vanaf dan je login procedure afhandelen. Je gaat naar gelijk welke andere site en je zegt dat je wilt inloggen, jij wordt doorgestuurd naar je OpenID provider en tegelijkertijd wordt er een request gestuurd naar dezelfde provider om de authenticatie te laten gebeuren. Jij logt in, de provider stuurt terug dat het goed (of niet goed) was en vervolgens ben je ingelogd. Je hoeft je passwoord niet door te geven aan die andere website en je kunt ook websites blacklisten en nakijken welke data je daarnaast nog wilt doorsturen (zoals avatars of andere persoonlijke data) naar die site.

Het phishen naar OpenID is net als het phishen naar gelijk welke andere site. Echter, nu kan je provider ook betere maatregelen nemen (zoals een authenticatieprocedure die alleen vanaf hun netwerk of met hun software werkt). Phishing is nog steeds het resultaat van domme users (geven overal en altijd al hun persoonlijke data door zonder te kijken) en slechte providers (geen HTTPS gebruiken of een oud certificaat) en slechte implementaties van bepaalde standaarden (zoals DNS addressen die omgedraaid zijn (com.aol.www is duidelijker dat het van aol is dan www.aol.com%obfuscating%.hacksite.net)) en is een vorm van social engineering, een 'hack' die al duizenden jaren oud is.
Het phishen naar OpenID is net als het phishen naar gelijk welke andere site.
Nee, het is substantieel anders omdat je nu je 'super' wachtwoord gaat invoeren bij elk willekeurig blog. Normaal kom je nooit 'zomaar' terecht op een AOL phishing site, nu kan dat elk moment gebeuren als je AOL gebruikt als OpenID provider. Een moment van onachtzaamheid kan al fataal zijn. OpenID phishing raakt ook de minder domme, maar soms onachtzame users. Zolang je met wachtwoorden blijft werken is het daarom gedoemd een speeltje van tweakers ed. te blijven. Tenzij het op een of andere manier toch populair wordt, dan hebben cybercriminals er weer een handige truc bij.
Je voert je wachtwoord niet in bij elk willekeurige blog. alleen je OpenID. Je wachtwoord voer je maar op 1 locatie in, en dat is bij je openidprovider.
Daarom zal ik dit ook niet voor echt gevoelige zaken gaan gebruiken. Zijn, voor wat fora enzo is het vervelend als mijn account misbruikt zou worden. Maar het ergste wat je dan kan overkomen is dat je gebanned wordt.
Op zich heb je wel gelijk alleen, als iemand jou id gebuikt om een misdrijf te plegen. b.v. (erg voor de handliggend) kinderporno. Zal je het meer dan vervelend vinden dat je account misbruikt is.
Daarentegen hebben veel mensen op dit moment bij allerlei fora dezelfde username en vaak ook nog hetzelfde wachtwoord. M.a.w. als dat eenmaal gekraakt is heeft de kraker ook toegang tot alle andere fora. Je hebt dan hooguit nog enige security-through-obscurity omdat de aanvaller niet weet welke fora je zoal gebruikt (bij OpenID in principe ook niet). Het systeem is dan ook vooral bedoeld om het probleem van het bijhouden van vele dezelfde usernames en passwords op verschillende fora op te lossen
Met als verschil dat je daarbij nog steeds een redelijk anonieme gebruik bent of kunt zijn.

Bij OpenID is het de bedoeling dat je persoonlijke identiteit (voor bepaalde sites) ůůk meer 'open' wordt.

Als dan dus je account gehacked wordt wijst alles naar JOUW personalia en niet naar wat vage info bij een bepaalde website.
Ik denk dat het inderdaad wel een groot target zal zijn voor hackers e.d., maar daar zal bij ontwikkeling echt wel rekening mee gehouden zijn.. Tenminste, ik zou dat als programmeur altijd in mn kop houden: Alles 300% dichtstoppen, overal rekening mee houden..

Wat ik me afvraag, is hoe toegankelijk implementatie is/wordt voor website en webshophouders e.d...
Het systeem is op zich zo veilig als je OpenID provider het maakt, maar voor niets vermoedende gebruikers is het ook erg gevoelig voor password phishing.

OpenID phishing introductie: http://openid.marcoslot.net/
En hoe maak je zo een ID aan?
(waarbij ik uiteraard zelf mn volledig 'url/login' kan bepalen)
Zoeken naar "mijn open id" levert je de website al hoor: http://www.mijnopenid.nl

Je hoeft alleen naam, email en wachtwoord in te vullen en je account wordt aangemaakt.

Het mooie aan dit systeem is dus het distributed (al genoemd). Samen met een url als inlognaam is het heel erg breed inzetbaar. Open, geen commercieel belang en veilig. Er zijn namelijk al een heel aantal jaren overheen gegaan voordat het ontwikkeld werd: een compleet systeem ontwerpen om het zo open en veilig te maken was nog niet zo makkelijk. Nu kijken of het aanslaat :)
Je kunt je eigen URL gebruiken als OpenID en vervolgens daarbij een willekeurige OpenID provider kiezen:

http://gentoo-wiki.com/Host_your_own_OpenID_server
Of gebruik Opera die houdt het netjes voor je bij :Y)
Het gaat meer om het inloggen en dat je je zelf niet overal steeds opnieuw hoeft te reggen :). (Kan best wel een spam gat worden als spammers dit gaan misbruiken.)
Ook die mogelijkheid zit in Opera ;)
Ff flamen: Opera is ook veel beter dan Firefox ;).
Opera: rechtsklik, block content en klik op de reclame die je nooit meer wilt zien.
Opera: De tabs kunnen onderaan worden geplaatst.
Bij Firefox kon ik die 2 functionaliteiten niet vinden.
Al zou ik Opera niet mijn passwords toevertrouwen. Misschien kan dat bestand wel worden gecrackt.
Daar zijn gewoon addons voor, die dat ondersteunen. N.m.l.
- Adblock plus
- Tabmis plus

:+
Zul je dus overal waar je komt Opera moeten installeren en dat is dus veelal geen optie. Andere browsers zoals Firefox, Safari en Internet Explorer onthouden ook loginnamen en wachtwoorden. Met OpenID is het alleen zo gedaan dat je dat overal kunt gebruiken, netzoals webmail. Er zit echter nog een check in waarin je als gebruiker voordat je met je credentials voor die site in kunt loggen kunt aangeven of je de boel vertrouwd of niet. Dat kun je niet met de browsers. Voor de rest kun je OpenID inderdaad meer vergelijken met de account-onthoud-functie van de diverse browsers.
Als ik het zo lees is dit systeem vergelijkbaar met een .net passport?
Ja, maar dan zonder Microsoft, en met de (supersimpele) mogelijkheid om je eigen authenticatie-server te draaien.

Zie http://www.openid.net/ voor specs.
Als ik het zo lees is dit systeem vergelijkbaar met een .net passport?
Als ik het goed lees, wordt je bij het inloggen doorgestuurd naar je eigen OpenID website. Je vult je password dus nooit in op de website waar je probeert in te loggen. Deze website kan daardoor niet je wachtwoord opslaan in een database o.i.d. Na het inloggen wordt je weer geredirect naar de website waar je vandaan kwam. Vergelijk met DigiD.
Hm ik sla over... Ik ben niet zo van de online id's en wachtwoorden bewaren op 1 plek. Hackers kunnen altijd hun gang gaan, en mijn computer zullen ze maar beperkt kunnen hacken oid., omdat deze niet 24x7 aanstaat.
Je zou je eigen computer als OpenID provider kunnen gebruiken.
En als je een hoger IQ hebt dan de gemiddelde chimpansee kan je het ook in je brein onthouden.
Er zijn altijd wel mensen die hun vertrouwelijke inlogsessie's hiermee zullen gaan regelen. Ik gebruik maar gewoon mijn eigen verstand en doe mijn best om alle wachtwoorden te kunnen onthouden.
Met 1 standaard wachtwoord, toch? ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True