Medios de identificación delegada: oAuth y OpenID

oAuth y OpenID son dos de los mecanismos de identificación y autorización delegada más populares. Prácticamente todas las redes sociales (Facebook, Google, Twitter…) ponen a disposición de los desarrolladores este tipo de servicios.

Qué suponen para el usuario

Es frecuente que cuando un usuario se registra en una nueva aplicación prefiera utilizar identificación mediante su cuenta de Facebook o Twitter. De esta manera, evita recordar un nuevo nombre de usuario y una nueva contraseña. Una vez aceptado este tipo de identificación, la aplicación en la que se está registrando recupera los atributos de identidad del usuario (correo electrónico, nombre de usuario…) y delega la identificación en la plataforma externa elegida.

Qué suponen para las aplicaciones

Las aplicaciones disponen de un mecanismo de identificación externo que les permite delegar la seguridad: no se gestionan contraseñas, nombres de usuario… Por otra parte, disponen de datos de usuario que no han requerido al mismo, ya que éstos son servidos por el propio mecanismo externo de identificación.

Conclusiones

Deben considerarse un par de consecuencias de la utilización de estos mecanismos:

  • Cada vez que un usuario delega su identificación en una aplicación mediante su cuenta en otra red social (Twitter, Facebook…) disminuye la fortaleza de su identidad digital. En caso de que alguien sea capaz de suplantarlo en esa red social, será también capaz de suplantarlo en todos los servicios asociados.
  • Cuando una aplicación confía en Twitter o Facebook para recuperar datos de identidad de un usuario, está dando por supuesto que esos datos son válidos y está asumiendo que el nivel de seguridad de la identificación externa es el adecuado para su propia aplicación

La aparente facilidad y usabilidad de mecanismos como oAuth o OpenID, presenta importantes riesgos de seguridad que no son claramente percibidos por usuarios y ni por aplicaciones, ya que lo habitual es que la identificación externa se realice mediante usuario y contraseña. La existencia de proveedores de identificación fuerte en este ámbito proporcionaría al usuario una mayor protección y a las aplicaciones una mayor fiabilidad en los datos de identidad. Pero ¿quién está suficientemente acreditado como para ser responsable de proveer este tipo de servicios?

oauth-openid

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s