Ataque a OpenID

Ataque a OpenID
16 de julio, 2010

Un ataque criptográfico ya conocido está dirigiéndose a los estándares OAuth y OpenID y podría provocar el robo de millones de cuentas de usuarios y de sus respectivas contraseñas, lo que supone un peligro de seguridad crítico para numerosos servicios web que se basan en la autenticación que proporcionan estos estándares. El llamado “ataque de tiempo” que se conoce desde hace 25 años es complicado de aplicar a la mayoría de sistemas de registro actuales, pero no tanto en estos servicios.

 

Los investigadores de seguridad Nate Lawson y Taylor Nelson afirman que han descubierto una vulnerabilidad básica que afecta a docenas de librerías de desarrollo Open Source que se usan en estándares como OAuth y OpenID y que se utilizan para comprobar las contraseñas y nombres de usuario cuando los internautas se registran en ciertos servicios web.

Estos estándares se utilizan en servicios muy populares como Twitter o Digg, y la vulnerabilidad podría hacer que millones de internautas viesen comprometidos sus datos personales por un ciberataque que aprovechara dicha vulnerabilidad.

 

Los criptógrafos explican cómo los llamados “timing attacks” llevan conociéndose desde hace 25 años, y aunque resultan inútiles para la mayoría de escenarios, se han vuelto a poner de moda debido a su posible efecto sobre estos sistemas de autenticación.

 

  • Share This