.gif)
Протоколы поддержки единых точек входа (Single Sign On, SSO), с помощью которых пользователь, зарегистрировавшись на одном из сайтов, может входить на другие без дополнительной процедуры регистрации, имеют ряд уязвимых мест, открывающих злоумышленникам возможность входить в системы под чужим именем. В числе сайтов, поддерживающих такую систему, Google и Facebook.
Ученые из Университета штата Индиана и Microsoft Research провели исследование, которое позволило выявить целый ряд серьезных изъянов защиты в системах OpenID и единой точки входа, используемых Facebook, а также в реализации таких систем еще на ряде популярных сайтов. Технологией OpenID пользуются, в частности, Google и PayPal. Отчет об исследовании, озаглавленный Signing Me onto Your Accounts through Facebook and Google: a Traffic-Guided Security Study of Commercially Deployed Single-Sign-On Web Services («Разрешите войти в Facebook и Google под вашим именем: изучение аспектов защиты коммерческих веб-сервисов единой точки входа на основе анализа трафика»), опубликован в Интернете в открытом доступе .
«Простота для пользователей оборачивается серьезными сложностями в управлении защитой», — отметил один из участников исследования Сяо Фенг Ванг.
Когда пользователь пытается зайти на какой-либо сайт через систему единой точки входа, между сайтом, на котором пользователь находится в данный момент, и провайдером, который хранит идентификационную информацию, происходит диалог. Сайт просит подтвердить определенную информацию, провайдер отвечает утвердительно или отрицательно. Но, как это обычно бывает в большинстве переговоров, здесь возможно неправильное понимание.
Одно из уязвимых мест, выявленных исследователями, состоит в том, что не все сайты гарантируют, что при верификации в OpenID будут проверены все элементы, которые данный сайт попросил подтвердить, то есть имя и фамилия и электронный адрес. В частности, при направлении запроса в OpenID, удалось удалить один из элементов запрашиваемой информации (например, электронный адрес), который затем был просто вставлен в подтверждение, поступившее от OpenID. В этом случае хакер, которому даже не был известен электронный адрес, связанный с идентификационной информацией, мог бы зайти на какой-либо сайт и, например, сделать покупки от имени реального пользователя.
Используя систему подтверждения подлинности Facebook, исследователи смогли «убедить» другие сайты, что они представляют собой иные лица, и получить доступ к идентификационным данным легитимных пользователей Facebook.
В ходе исследования было проанализировано только несколько популярных сайтов, в том числе Sears, Yahoo!, веб-сервис управления проектами Smartsheet, портал популярной игры FarmVille в Facebook и сайт издания New York Times.
Ученые заявили, что все обнаруженные и задокументированные изъяны исправлены. Вангу неизвестны случаи использования злоумышленниками узких мест, обнаруженных им или его коллегами. Однако, по его словам, есть ощущение, что подобных проблем на других сайтах, использующих системы единой точки входа, еще очень много.
Разделяемое применение идентификационной информации набирает популярность, особенно в системах электронной коммерции. Компания Forrester Research недавно провела исследование, согласно которому свыше 10% потенциальных интернет-покупателей не пользуются возможностями, предоставляемыми онлайн-сервисами, только из нежелания каждый раз заново регистрироваться.
Аналитик Forrester Research Андрас Цзер назвал платформу OpenID чрезвычайно ненадежной.
Уязвимые места системы идентификации Facebook, по его словам, представляют собой гораздо большую опасность, чем взлом самого Facebook. Опасно то, что множество сайтов применяют для идентификации пользователей систему Facebook Connect.
Цзер полагает, что решить проблему поможет использование двухфакторной идентификации. Запросы на вход, исходящие от нового устройства или из необычного места, должны включать второй цикл обмена вопросами, уточняющими параметры пользователя, или требовать от него введения временного пароля в виде текстового сообщения.