Thursday, December 6th, 2007...11:51 pm

Microsoft Research, OpenID i kleksy

Jump to Comments

Ostatnio wspominałem (w zasadzie mimochodem) o tym że Google na testowej stronie bloggera uruchomiło wsparcie dla OpenID, przy okazji Kim Camreon wskazał na możliwość połączenia OpenID i CardSpace w bezpieczne rozwiązanie zapewniające uwierzytelnienie w sieci. Okazuje się że to nie jest jedyne wsparcie ze strony Microsoft dla OpenID.

Microsoft Research, czyli dział firmy zajmujący sie nowymi technologiami i ich rozwojem, uruchomił eksperymentalną wersję własnego serwera OpenID. Niby nic nowatorskiego jednak jest jeden wyróżnik tego serwera, czyli kleksy (ink bloats).

Czym są kleksy? Kleksy mają pozwolić nam na łatwe tworzenie i zapmiętywanie silnych haseł. Silne hasło przeważnie nie jest proste do zapamiętania. Większośc użytkowników którzy takowe stosują ma jakiś system ich konstruowania, który ułatwia ich zapamiętanie. W tym rozwiązaniu rolę tego systemu pełnią kleksy.

W chwili tworzenia hasła jest nam prezentowana seria obrazków i dla każdego obrazka wprowadzamy dwa znaki, które powiązane są ze skojarzeniem jakie wywołuje u nas konkretny obrazek. W chwili, gdy logujemy się w celu potwierdzenia naszej tożsamości prezentowana jest nam ta sama sekwencja kleksów w celu przypomnienia hasła.

Czy to dziaÅ‚a? W moim przypadku tak – okazuje siÄ™, że bez problemu jestem w stanie wpisac poprawnie hasÅ‚o oparte na skojarzeniach obrazków.

Całość potestować można na stronie InkBloatPassword.com.

Przy okazji takie rozwiÄ…zanie stanowi pewnego rodzaju zabezpieczenie przed pishingiem w celu przejÄ™cia naszego hasÅ‚a. Ewentualny podszywajÄ…cy siÄ™ pod stronÄ™ atakujÄ…cy nie jest w stanie nam przedstawić konkretnie takiej samej sekwencji kleksów – nie posiada bowiem informacji jakie kleksy byÅ‚y nam przedstawione, w chwili tworzenia hasÅ‚a. OczywiÅ›cie można sobie wyobrazić sytuacjÄ™, w której atakujÄ…cy najpierw bÄ™dzie próbowaÅ‚ zebrać wszystkie generowane obrazki ze strony … ale to może być raczej trudne.

Czy takie podejście się przyjmie? Nie wiem. Napewno jest interesujące. I wskazuje na to że problem zarządzania tożsamością w sieci jest palący i wiele organizacji pracuje nad jego rozwiązaniem. Pozytywnym faktem jest też to, że dostawcy różnych rozwiązań w tym zakresie ze sobą współpracują.

Update

MaÅ‚e uaktualnienie – PaweÅ‚ zainteresowaÅ‚ siÄ™ tym tematem i szybko przeanalizowaÅ‚ podejÅ›cie w obecnej implementacji na stronie MS Research. Wniosek – trzeba trochÄ™ nad tym poprawcować, ale pomysÅ‚ nadal uważam za ciekawy sam w sobie.

Leave a Reply