Er zijn talloze applicaties die het mogelijk maken om gegevens op te vragen op je websites. Denk maar aan de vele programma’s voor Twitter, FaceBook, Yahoo en Google.
Tweetdeck, Yoono, paper.li, Twitpic, foursquare zijn daar voorbeelden van. Deze programma’s maken contact met de Twitter-site en vragen je vervolgens toestemming om contact met je account te maken. Bijna iedereen maakt hiervan gebruik zonder zich af te vragen of deze methode beveiligd is tegen misbruik.
OAuth
Het goede nieuws is ja, het is veilig. Dankzij OAuth – Open Authorisation – krijgen deze programma’s slechts toegang tot een beperkt gedeelte van je gegevens.
Valet Key (parkeersleutel) voor het web.
Veel luxe auto’s worden geleverd met een valet key of parkeersleutel. Het is een speciale sleutel die je aan de parkeerwachter geeft en in tegenstelling tot de reguliere sleutel, kan de auto maar over een korte afstand worden gereden, terwijl de toegang tot de kofferbak en de evt ingebouwde mobiele telefoon blijft geblokkeerd. Ongeacht de beperkingen die de parkeersleutel oplegt, is het een goed concept. Je geeft iemand beperkt toegang tot je auto met een speciale sleutel, terwijl het gebruik van een andere sleutel nodig is om al het andere te ontgrendelen.
Naarmate het web groeit, rekenen steeds meer sites op gedistribueerde diensten en cloud computing: je Flickr-foto’s via een fotolaboratorium laten afdrukken, in een sociaal netwerk met behulp van je Google-adresboek zoeken naar vrienden, of met een toepassing van derden gebruik maken (via API’s) van meerdere diensten zoals Tweetdeck en Yoono. Het probleem is dat voor deze toepassingen die worden gebruikt om de gegevens op andere websites te zoeken, er wordt gevraagd om gebruikersnamen en wachtwoorden.
Niet alleen betekend dit het verstrekken van inloggevens aan derden – vaak dezelfde wachtwoorden die gebruikt worden voor online bankieren en andere sites – het biedt deze applicaties ook onbeperkt toegang om te doen wat ze willen op de betreffende sites.
Ze kunnen alles doen, inclusief het veranderen van de wachtwoorden en gebruikersaccounts blokkeren.
OAuth biedt een methode voor gebruikers om toegang van derden om hun gegevens te verlenen zonder het delen van hun wachtwoorden. Het biedt ook een manier om een beperkte toegang (in omvang, duur, enz.) te verlenen. Zo kan bijvoorbeeld een web-gebruiker (resource eigenaar) toegang verlenen aan een afdrukservice (client) tot haar prive-foto’s opgeslagen op een foto-sharing service (server), zonder het delen van gebruikersnaam en wachtwoord met de afdrukservice. In plaats daarvan verifieert ze rechtstreeks met de foto-sharing service (server) die de afdrukservice van de nodige contactgegevens voorziet.
OpenID.
OAuth is geen concurrent van OpenID maar een aanvulling hierop. De combinatie van OpenID enm OAuth is de meest veilige manier van authenticatiebeheer op het web.
Over Kouwepolder ICT
Kouwepolder ICT adviseert bedrijven en instellingen over het toepassen van bedrijfsautomatisering binnen hun organisatie. Wilt u meer informatie over Kouwepolder ICT of bedrijfsautomatisering, neem dan contact op via e-mail:info@kouwepolder.nl of telefonisch : +31(0)6 4602 4353
