Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
04/04/2012
Identifican importantes vulnerabilidades en los sistemas Single Sign-On
Descubren importantes fallos de seguridad en los protocolos de registro single sign-on, usados por Google y Facebook entre otros. Las vulnerabilidades identificadas podrían permitir a algún estafador suplantar la identidades de cualquiera.
Ésta es la principal conclusión que se extrae de un reciente estudio de seguridad llevado a cabo desde la Universidad Bloomington de Indiana y que ha contado con la participación de Microsoft Research. De hecho, algunos expertos han asegurado encontrar un buen número de fallos serios en OpenID y el sistema single sign-on utilizado por Facebook, además de implantaciones de estos sistemas en varias webs muy populares. Google y PayPal se encuentran entre los usuarios de OpenID.
“El problema es que el sistema de autenticación hace la vida más fácil pero convierte la gestión de la seguridad en algo más cambiante”, asegura XiaoFeng Wang, uno de los autores del informe.
Al realizar un registro basado en single sign-on, se inicia una conversación entre la Web que el usuario visita y el proveedor de la cuenta identificada. La web pide que se verifique cierta información y el proveedor de la cuenta responde con la aprobación o el rechazo. Pero, como en cualquier conversación, hay espacio para una mala interpretación.
Leer noticia completa en CSO Spain.