open id security itsec
DESCRIPTION
OpenID,net zo veilig als DigiD?TRANSCRIPT
ITsec Security Services BV 112 mei 2009
OpenID,net zo veilig als DigiD?
Ir. Christiaan J. Roselaar
Ceo/co-founder ITsec Security Services bv
ITsec Security Services BV 212 mei 2009
Wie kwamen er vandaag met de auto?
ITsec Security Services BV 312 mei 2009
Veilig bestaat niet!
ITsec Security Services BV 412 mei 2009
Even voorstellen
Christiaan J. Roselaar Ceo/co-founder ITsec Security Services de “pentest-professionals” financials, telecom
When IT(-security) matters
ITsec Security Services BV 512 mei 2009
Agenda
Beveiliging in een perspectief Hoe werkt OpenID? Protocolrisico’s Implementatierisico’s Net zo veilig als DigiD? Conclusie
ITsec Security Services BV 612 mei 2009
Welke risico’s zijn er?
En ben je bereid die te accepteren?
ITsec Security Services BV 712 mei 2009
Welke maatregelen?
Restrisico’s benoemen en accepteren Balans tussen waarde/maatregelen,
risico’s en restrisico’s
ITsec Security Services BV 812 mei 2009
Rationeel?
ITsec Security Services BV 912 mei 2009
Hoe werkt OpenID?
ITsec Security Services BV 1012 mei 2009
Protocol-issues OpenID
Geen authenticatie tijdens registratie Geen trust-infrastructuur Hergebruik van mijn OpenID?! Privacy-issues (Google) Afhankelijkheid van IdP (24*7..) Gevoelig voor Phishing
ITsec Security Services BV 1112 mei 2009
Implementatierisico’s
Kwaliteit @ IdP In(secure) storage? In(secure) programming? Patch & vuln. Management? Procedures? Screening?
Kwaliteit @ SP Dito ..
ITsec Security Services BV 1212 mei 2009
OpenID en beveiliging
Primaire driver: gemak Voor zaken van geen of weinig waarde
waarde of Voor zaken waar “merchant” én client
bereid zijn het risico te nemen
ITsec Security Services BV 1312 mei 2009
En DigiD dan?
Live-demo
ITsec Security Services BV 1412 mei 2009
Samenvatting
Veel toepassingsmogelijkheden OpenID
Maar: 100% veilig bestaat niet Niets is spontaan veilig.. Plan-do-check-act!
ITsec Security Services BV 1512 mei 2009
Dank voor uw aandacht
Ir. C.J. Roselaar
http://www.itsec.nl