OpenID phishing – op welke manier kan dit opgelost worden?

Marco Slot, een student aan de VU, schrijft een interessant artikel over de Phishing-problemen van OpenID , waarbij hij een orginele invalshoek kiest: OpenID kan pas doorbreken wanneer we afstappen van password-authenticatie.

Hij geeft zelfs code voorbeelden op welke manier een Level 1 (Vervangen inlogpagina), Level 2 (login procedure vervangen) en een Level 3 (“standaard” inlogpagina opzetten) phishing actie uitgevoerd kan worden.

Voordat hij aangeeft op welke manier dit opgelost zou kunnen worden, geeft hij nog een aantal “non-solutions”, waarbij per oplossing aangegeven wordt waarom het niet zal werken. Hij verwijst hierbij o.a. naar een artikel van Simon Willison over OpenID phishing, waarbij nog meer mogelijkheden van phishing getoond worden.

Als oplossing beschrijft hij de noodzaak van het afstappen van password-authenticatie en het gebruik maken van ingebouwde oplossingen in browsers [toolbar], client applicaties [Windows CardSpace] of hardware [USB-stick] om de authenticatie af te handelen. Op deze manier hoeven gebruikers geen passwords meer te gebruiken.

Het nadeel hiervan is echter wel dat dit betekend dat we nog even geduld moeten hebbenvoordat het grote publiek OpenID zal gaan gebruiken, omdat deze oplossingen op dit moment nog niet beschikbaar zijn.

Als laatste geeft hij nog een waarschuwing aan alle OpenID providers die op dit moment overal opgestart worden. Net zoals ik de vorige keer al beschreef over de kwaliteit van OpenID providers, geeft hij ook aan dat het erg belagrijk is dat de OpenID providers begrijpen welke macht ze krijgen en dat ze daarom ook hun verantwoordelijkheid moeten nemen.