PDF de programación - Sistemas de Autenticación y Autorización en Internet

COMPUTACIÓN DISTRIBUIDA

SISTEMAS DE AUTENTICACIÓN Y AUTORIZACIÓN EN INTERNET

v1.0



Jordi Sánchez

jun-2011



UdL, Máster en Interacción Persona-Ordenador 2010-2011.
Sistemas de Autenticación y Autorización en Internet

Computación Distribuida

CONTENIDOS DE ESTE DOCUMENTO

Resumen ..................................................................................................................................3

1.

Introducción: el problema .................................................................................................3

1.1.

Autenticación vs. autorización ........................................................................................... 4

2. Protocolos y estándares ....................................................................................................5

2.1. OpenID ............................................................................................................................... 5

2.2. OAuth ................................................................................................................................. 8

2.3. OpenID OAuth Hybrid Protocol ........................................................................................ 11

2.4.

Facebook Connect ............................................................................................................ 11

2.5. OpenID Connect ............................................................................................................... 12

2.6. Otros sistemas .................................................................................................................. 12

2.7.

Tabla comparación / resumen ......................................................................................... 13

3. Decisiones y elección de un sistema ................................................................................. 13

3.1.

Para el proveedor de servicios ......................................................................................... 13

3.2.

Para el usuario final .......................................................................................................... 14

4. Cuestiones de interfaz de usuario .................................................................................... 15

5. Aspectos de computación distribuida .............................................................................. 17

6. Conclusiones y situación actual ........................................................................................ 18

Referencias ............................................................................................................................ 19

Resumen

2 / 20

UdL, Máster en Interacción Persona-Ordenador 2010-2011.
Sistemas de Autenticación y Autorización en Internet

Computación Distribuida

RESUMEN

Con la proliferación de servicios en Internet, especialmente los relacionados con redes
sociales, el problema de la multitud de sistemas de autenticación de usuarios y de
acceso a los recursos y datos personales se hace cada vez más importante. En este
trabajo se describen y discuten
los principales estándares y protocolos de
autenticación y autorización en Internet utilizados en la actualidad, no tanto desde un
punto de vista técnico de funcionamiento de los protocolos (su especificación y
documentación relacionada está disponible en la red), sino desde la perspectiva de los
usuarios finales de esos servicios.

1. INTRODUCCIÓN: EL PROBLEMA

El uso de Internet y la oferta de servicios disponibles han crecido enormemente, y la mayoría de
usuarios utilizan múltiples aplicaciones de terceros: por ejemplo, un usuario típicamente
consultará su correo en un sistema de webmail, participará en varias redes sociales, etc.

Héctor podría ser un usuario típico de Internet. Como muchos otros, tiene su cuenta de
correo electrónico en un webmail (GMail), y usa diariamente Facebook y Twitter para
estar en contacto con sus amigos y conocidos. Además, cuando las necesita usa
esporádicamente otras aplicaciones más especializadas, como Flickr para guardar
algunas de sus fotos.

La mayoría de esas aplicaciones requieren que el usuario se autentique; es decir, que demuestre
de algún modo (habitualmente usando un identificador de usuario único y una contraseña
asociada) que es quien dice ser. Y no solo eso; muchas de esas aplicaciones almacenan también
datos personales, en muchas ocasiones comunes, como pueden ser la dirección de correo
electrónico, una fotografía propia, la fecha de nacimiento, el domicilio, etc.

Al tratarse de aplicaciones independientes entre sí, en principio cada una de ellas utilizaría su
propio sistema de autenticación y de gestión de datos personales, lo cual implica inconvenientes
al usuario cada vez más graves a medida que el número de sistemas que utiliza crece: debe
recordar diferentes identificadores de usuario y contraseñas para diferentes sistemas, y
autenticarse en cada uno de ellos cada vez que desea usarlos. Además, debe mantener su
información personal actualizada en todos ellos. El problema empeora si tenemos en cuenta que
es habitual que los usuarios utilicen diferentes identidades (cuentas) en un mismo servicio.

Cada vez que tiene que entrar en GMail, Facebook o Twitter, Héctor debe recordar cuál
es su nombre de usuario y contraseña en cada sistema. Cuando entra desde el ordenador
de casa, el navegador ya los tiene almacenados y no tiene que introducirlos; pero
cuando se conecta desde otras ubicaciones, suele costarle varios intentos e incluso
alguna vez ha tenido que solicitar una nueva contraseña por e-mail. Además, cada vez
que desea cambiar su foto de perfil, tiene actualizarla en diversas aplicaciones.

Con las aplicaciones que utiliza con poca frecuencia es peor; es habitual que no
recuerde la contraseña y/o que los datos que utilizan estén desfasados. Algunas de ellas
tienen todavía una foto suya que desearía que ya no estuviera disponible en la red.

Resumen

3 / 20

UdL, Máster en Interacción Persona-Ordenador 2010-2011.
Sistemas de Autenticación y Autorización en Internet

Computación Distribuida

Esta situación no sólo es incómoda para los usuarios, sino que lleva a que estos realicen prácticas
que comprometen la seguridad de sus sistemas, como son:

 uso de contraseñas poco seguras;

 anotación de las contraseñas en papel, en documentos de texto, etc.;



reutilización de contraseñas en diferentes sistemas [1]

Adicionalmente, los datos personales almacenados en los diferentes sistemas pueden quedar
desactualizados o ser incoherentes entre sí.

El objetivo de las tecnologías y protocolos descritos en este trabajo es dar solución a esos
inconvenientes, ofreciendo sistemas centralizados tanto de autenticación (conocidos como
single-sign-on [2]) como de gestión de datos personales.

Para evitar tener que recordar tantas contraseñas diferentes, Héctor ha terminado por
utilizar la misma en diferentes aplicaciones. Sabe que no es seguro, porque aumenta el
riesgo de que alguien la averigüe y tenga acceso prácticamente a toda su información en
la red; pero le parece que eso es mejor que tenerlas escritas en un papel o un Word.

En cuanto a sus datos personales, habitualmente los tiene al día en Facebook, que es una
aplicación que usa con frecuencia. En el resto de aplicaciones intenta mantener el
mínimo de información posible, y no se preocupa demasiado si está desfasada.

Sería más cómodo para él utilizar un sistema para entrar en todas esas aplicaciones con
una única autenticación y que, además, sus datos personales estuvieran en un único
lugar, y que las aplicaciones accedieran a ellos cuando lo necesitaran (y tuvieran
permiso para ello).

1.1. Autenticación vs. autorización

Antes de seguir, es necesario hacer una distinción clara entre dos tipos de servicios ofrecidos por
las tecnologías que vamos a describir [3].

Autenticación: consiste en un sistema para certificar que el usuario es quien dice ser; lo más
común es utilizar una combinación de identificador de usuario único y contraseña, aunque existen
otros. Un sistema de single-sign-on consiste, por tanto, en un protocolo de autenticación que
funcione en más de un sistema; es federado si el sistema responsable de la autenticación puede
ser cualquiera que cumpla el estándar definido por el sistema; por otro lado, será un sistema
delegado si el sistema que autentica es uno predeterminado [4].

Autorización: consiste en dar acceso a una serie de recursos a un usuario o sistema (para ello, el
usuario o el sistema previamente tendrán que haberse autenticado). En este trabajo no nos
centraremos en la autorización que se da a un usuario después de autenticarse en una
determinada aplicación (que será gestionado por esa aplicación), sino en la autorización que un
usuario proporciona sobre sus recursos en un determinado sistema para que un tercer sistema
tenga acceso a ellos.

Introducción: el problema

4 / 20

UdL, Máster en Interacción Persona-Ordenador 2010-2011.
Sistemas de Autenticación y Autorización en Internet

Computación Distribuida

Así, podemos decir que las tecnologías de autenticación ofrecen soluciones al problema de tener
que autenticarse en múltiples sistemas, mientras que las de autorización intentarán resolver los
inconvenientes de tener datos y recursos personales repartidos en diferentes sistemas.

Para Héctor, el problema de tener que recordar diferentes contraseñas podría
solucionarse con un sistema de autenticación único, mientras que el de tener sus datos
personales en diferentes sitios podría resolverse autorizando a los sistemas a que