Home  »  NewsSicurezza   »   Dieci, Cento, Mille Password: OpenID

Dieci, Cento, Mille Password: OpenID

By | luglio 11, 2017

Alla scoperta di OpenID, una luce in fondo al buio dei mille account web. Come tutti quanti i citizen di Internet, anche io sono possessore dei circa un centinaio di account, sparsi su chissà quanti siti e memorizzati su chissà quale database.

Penso che il comportamento di quasi tutte le persone che si avvicinano ad internet sia lo stesso (chissà se qualche università non lo abbia studiato): appena si comincia, si segnano con estrema meticolosità le password e gli account utilizzati per le prime registrazioni a qualche sito, riposte con cura accanto ai documenti importanti. Con il passare del tempo, la cura svanisce e se inizialmente ancora ci segnamo le password su foglietti improvvisati, con il passare del tempo, presi ormai dalla disperazione del millesimo account, non appuntiamo più niente, magari riutilizzando per l’ennesima volta chissà quali credenziali.

OpenId è un protocollo di identificazione, sviluppato a partire dal 2005, il cui scopo è di alleviare proprio questo problema Una sola coppia di credenziali per accedere a qualsiasi sito!

Introduzione

Iniziamo con il chiarire un aspetto che forse potrebbe essere poco chiaro; quando si parla di sicurezza informatica spesso si confondono questi due termini:  autenticazione e autorizzazione.

  • Autenticazione  è il processo di verifica dell’identità di un soggetto, sia esso una persona, una ditta o un computer, e risponde alla domanda: chi sei?
    Questo processo può avvenire in diverse modalità: attraverso un nome utente ed una password, ma anche attraverso una scheda elettronica o anche una impronta digitale.
  • Autorizzazione in breve risponde alla domanda: chi può fare cosa? Ovvero, una volta appurata l’identità di un soggetto è necessario stabilire che azioni può intraprendere o meglio, nel caso specifico delle applicazioni web, a quali oggetti remoti può accedere.

OpenID si occupa esclusivamente della autenticazione, ovvero un solo nodo (o un gruppo di nodi) si dovrebbe occupare della verifica dell’identità, mentre ciascun singolo sito che utilizza OpenID dovrebbe preoccuparsi della sola parte di autorizzazione.

Nel gergo di OpenID il sito remoto che memorizza le credenziali di autenticazione è detto OpenID Provider, mentre un utente che vuole autenticarsi deve comunciare al provider il proprio Identifier, che sarebbe un URI (Uniform Resource Identifier, ovvero una stringa uguale agli abituali URL), infine il sito presso il quale vorrete autenticarvi è detto Relying Party.

Il processo di autenticazione

Il processo di autenticazione è a grandi linee il seguente:

  1. L’utente presenta il proprio identificatore (che spesso coincide con la propria username o la propria e-mail) al sito al quale vuole accedere (Relying Party);
  2. Il sito a questo punto, una volta normalizzato l’identificatore, il sito effettua un discovery (una ricerca) per conoscere quale è il punto di accesso del provider (un particolare indirizzo web);
  3. Il Provider e il Relying Part a questo punto possono generare una stringa segreta che utilizzeranno così per poter dialogare in maniera sicura;
  4. A questo punto l’utente viene redirezionato dal sito (Relying Part) verso il punto di accesso del Provider effettuando contestualmente una richiesta di accesso;
  5. L’utente può a questo punto inserire le proprie credenziali di accesso del Provider, che controllerà l’identità del soggetto;
  6. A questo punto il Provider redizionerà l’utente verso il sito originario (Relying) indicando contemporaneamente se l’utente è stato autenticato correttamente o meno;
  7. Il gioco è fatto, il sito ha tutte le informazioni necessarie.

Per ora è sufficiente, ma torneremo a parlare di OpenID e di autorizzazione.
A presto.

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Iconic One Pro Theme | Powered by Wordpress