El Comercio Digital

Webmaster Libre

Desarrollo Web con Software Libre

Seguridad y OpenID: OpenID Phishing

Se ha montado un revuelo impresionante alrededor de OpenID, concebido como un sustituto libre de servicios como Passport de MSN, OpenID nos permite centralizar todas nuestras cuentas de usuario bajo un solo login.

Personalmente, siempre me ha quedado ese punto de recelo: perdido un password perdidos todos… Y según veo en Kriptópolis no es un miedo infundado. Ya tenemos entre nosotros toda una guía para realizar phishing a OpenID, así que ojo avizor…

General

Si te ha gustado este post no olvides suscribirte al feed para estar al tanto de las novedades

6 Respuestas a “Seguridad y OpenID: OpenID Phishing”

Agrega tu comentario

  1. El phishing es un tema que no escapa a absolutamente ningún sistema de autentificación web por contraseña, OpenID incluido.
    No entiendo cómo es posible atacar a OpenID por el posible phishing…
    Es más, MyOpenID es la primera web que conozco que tiene un sistema anti-phishing: http://kveton.com/blog/2007/01/24/myopenid-new-anti-phishing-tools-available/

  2. El problema sería que, por ejemplo, un sitio web fraudulento fingiese ser un sitio donde se acepta la autentificación vía OpenID. El usuario introduciría sus contraseña y dejaría expuestas tantas cuentas como sitios donde se identifique con OpenID (es una idea, no soy un “cerebro criminal”)

  3. Eso que dices es la definición de phishing… ¿y? No respondes a nada de lo que dije. ¿Podrías citarme una sóla web que tenga sistema anti-phishing? Yo te cité una: myopenid.com

    Lo que dices en tu artículo no es otra cosa que desinformar. Guías de phishing ha habido desde siempre, y para todo tipo de webs, y seguirá habiéndolas. Son famosas las de hotmail, pero sin embargo nadie culpó al sistema de autentificación Passport por el hecho de que exista el phishing. ¿Lo hiciste?

    OpenID es un protocolo de autentificación distribuido, no un sistema anti-phishing.

  4. Yo no sé porque te muestras tan a la defensiva por el hecho de que publique un enlace a una nueva forma de phishing que, casualmente, utiliza como base OpenID.

    Dices que no culpé a passport de mis males, pero puede que fuese porque no tenía ningun servicio passport-ready que tuviese mis datos bancarios en él y, en cambio, si tengo un servicio OpenID-enabled donde podrían robarme dinero.

    Quizá, la base de todo esto sea que el sistema es perfecto y el usuario imperfecto (capaz de caer en scams de lo más variado) pero, a fin de cuentas, el sistema debe servir al usuario y, un sistema que facilita un escenario tan desolador para un usuario con pocos conocimientos del tema, merece al menos un punto de escepticismo.

  5. Lo único que tienes que hacer es no logearte en esos sitios con openid… También tienes esa información en tu correo. Y si tienes la misma clave en tu correo que en alguna de las webs que usas ya estarias teniendo un terrible agujero de privacidad.

    Ando buscando si openid es seguro o no… no me termino de aclarar. Usar una misma clave para muchas webs no es malo si son webs absurdas como blogs y cosas asi… Tampoco hay que ser maniaticos… Todos usamos la contraseña “cutre” para las pagians cutres y la “otra” para el correo y eso… Poca gente usa alguntipo de logica en sus contraseñas como por ejemplo si entro en gmail  poner “G1M2A3I4L”…

    Sigo sin enterarme si se puede suplantar la identidad teniendo tu propio servicio de openid…

  6. La verdad es que, como dices, es lo mismo que usar una contraseña débil o loguearte en una web con mal aspecto, lo malo es que la gente lo hace.
    Hace poco leí que se había extendido un poco el tema del phishing tanto con Open ID como con oAuth pero supongo que, a nivel de seguridad, lo importante no es tanto el método como la persona que lo emplea.

Feed RSS de los comentarios de este post.

Deja tu comentario

Por favor, procura que tus comentarios aporten algo al tema del artículo. Los comentarios ofensivos y el spam serán eliminados.

Si tu comentario no aparece al momento puede que esté en la cola de moderación o en Akismet, lo reviso cada día pero si ves que pasa un tiempo prudencial y no aparece dímelo

Este post tiene más de año y medio. Puedes dejar un comentario de todas formas y volver más tarde para comprobar si hay novedades sobre el tema.

Información:

Webmaster Libre es un blog de Alma Fernández