Llegamos a ustedes gracias a:



Noticias

Estudio encuentra grandes debilidades en los sistemas de sign-on único

[29/03/2012] Los protocolos de sing-on único,, que permiten a los usuarios identificarse ante un conjunto de sitios web con sus cuentas de Google o Facebook, sufren de fallas de seguridad que podrían permitir a los estafadores identificarse como alguien más, señalaron los investigadores.
Los investigadores, de la Indiana University Bloomington y Microsoft Research, afirman que han encontrado varias fallas serias en Open ID y en el sistema de sign-on único usado por Facebook, así como en las implementaciones de estos sistemas en varios sitios web populares. Google y PayPal se encuentran entre los usuarios de Open ID.
El problema aquí es que el sistema de autenticación hace la vida más sencilla pero hace que la administración de la seguridad sea más desafiante, afirmó Xiao Feng Wang, uno de los autores del estudio.
El uso de un login de sign-on único inicia una conversación entre el sitio web que un usuario está visitando y el proveedor de la cuenta de identificación. El sitio web pide cierta información para ser verificada, y el proveedor de la cuenta responde con afirmativa o negativamente. Pero, como en la mayoría de las conversaciones, hay espacio para un malentendido.
En una de las fallas que los investigadores expusieron, por ejemplo, no todos los sitios web confirmaron que la verificación que viene de Open ID incluía todos los ítems que el sitio web pidió confirmar, como el nombre de pila, apellido y dirección de correo electrónico. Los investigadores pudieron acceder a la solicitud, borrar una parte de la información solicitada (el correo electrónico, por ejemplo) cuando fue a Open ID y simplemente reinsertarla en el OK de Open ID. De esta forma, incluso un hacker que no tenga control sobre el correo electrónico ligado a la cuenta del usuario en el sitio web en cuestión podría hacer login, y probablemente hacer compras, usando la cuenta de la persona.
Al usar el sistema de autenticación de Facebook, los investigadores pudieron persuadir a sitios web terceros de que eran alguien más y secuestrar la cuenta de Facebook legítima de esa persona.
Los investigadores solo investigaron unos cuantos sitios web populares en el estudio. Entre éstos se encontraban Sears, Yahoo, Smartsheet, el portal de FarmVille en Facebook y The New York Times.
Todas las fallas de seguridad que documentaron han sido reparadas, anotaron los investigadores. Wang no conocía ningún caso en el que las cuentas que él y sus colegas encontraron hayan sido explotadas por los estafadores. Pero, sostuvo, es nuestra sensación de que habrá muchos problemas similares en otros sitios que usen sign-on único.
El método de login compartido está creciendo en popularidad, incluso entre las plataformas de comercio electrónico. Un reciente estudio de Forrester Research encontró que más del 10% de los probables compradores abandonaron las compras en línea debido a que no deseaban crear una nueva cuenta.
El analista de Forrester Research, Andras Cser, afirmó que la plataforma Open ID ha sido por mucho tiempo una plataforma débil.
El impacto de la falla de la autenticación de Facebook, dijo, fue peor que si crackearan Facebook, ya que muchos sitios utilizan Facebook Connect para hacer el login. Ese es un gran problema.
Cser predijo que la solución es utilizar un login de dos factores. Sugirió que las solicitudes de login desde un nuevo dispositivo o que provengan de un lugar inusual puedan activar un segundo conjunto de preguntas de seguridad o requerir a los usuarios que reciban una contraseña temporal mediante mensaje de texto.
El estudio, Signing Me onto Your Accounts through Facebook and Google: a Traffic-Guided Security Study of Commercially Deployed Single-Sign-On Web Services, se encuentra disponible en línea.
Cameron Scott, IDG News Service