2007년 08월 02일
OpenID의 평판(reputation) 관리 방식은?
title; In security, reputation is everything. Become a trusted resource for next generation security
link; http://www.echannelline.com/usa/story.cfm?item=22241
ID 관리에서도 reputation이 중요한 요소가 된다는 점은, 제가 자주 언급한 내용입니다. OpenID 측에서는 가칭 OWL(OpenID White List)와 같은 식으로 reputation을 관리하려고 하더군요. 그렇지만 단순히 화이트리스트, 블랙리스트 식으로 reputation을 명확히 구분하기는 어렵습니다.
좋은 idp에 악의적인 사용자가 있는 경우를 생각해봅시다. 해당 idp가 화이트리스트로 분류된다면, 악의적인 사용자가 마음대로 나쁜짓을 할 수 있습니다. 반대로 악의적인 사용자로 인해 idp가 블랙리스트로 차단된다면, 그 idp의 다른 선의의 사용자들은 피해를 보게 됩니다.
사용자를 차단하는 것도 어렵습니다. url를 바꾸어 가면서 접근한다면 블랙리스트에 없을 거니까요. ip 정도는 proxy를 이용하여 쉽게 바꿀 수 있습니다. 번거로워서 그렇지, 우회할 수 있는 방법은 다양합니다. 화이트리스트를 유지한다면, 처음 접근하는 사용자에 대해서는 수작업으로 등록해야 하겠죠. 나름대로 효과적이지만, 관리자의 수작업을 요구하는 번거로운 작업을 요구합니다.
인증 레벨을 reputation에 반영하는 방법은 저도 예전에 고려해 봤습니다만, 실제로 idp가 해당 인증 레벨로 사용자를 인증했는지를 증명할 방도가 없습니다. idp를 믿을 수 밖에 없죠. 그러면 우선 신뢰하는 idp 목록이 있어야 할테고, 다른 idp들은 차별을 받을 수 밖에 없습니다. ip와 같은 부가적인 요소로 사용자의 reputation을 평가하는 방법은 이전 단락에서 설명한 것처럼 우회할 수 있구요.
한국을 방문한 David Recordon이 OpenID 보안을 위해 화이트리스트를 구성할 계획이라고 말했습니다. OpenID 메일링리스트에서도 관련된 논의가 이루어지고 있구요. 다음 포스트에서는 OpenID 메일링리스트에서 논의되는 내용을 소개하겠습니다.
link; http://www.echannelline.com/usa/story.cfm?item=22241
ID 관리에서도 reputation이 중요한 요소가 된다는 점은, 제가 자주 언급한 내용입니다. OpenID 측에서는 가칭 OWL(OpenID White List)와 같은 식으로 reputation을 관리하려고 하더군요. 그렇지만 단순히 화이트리스트, 블랙리스트 식으로 reputation을 명확히 구분하기는 어렵습니다.
좋은 idp에 악의적인 사용자가 있는 경우를 생각해봅시다. 해당 idp가 화이트리스트로 분류된다면, 악의적인 사용자가 마음대로 나쁜짓을 할 수 있습니다. 반대로 악의적인 사용자로 인해 idp가 블랙리스트로 차단된다면, 그 idp의 다른 선의의 사용자들은 피해를 보게 됩니다.
사용자를 차단하는 것도 어렵습니다. url를 바꾸어 가면서 접근한다면 블랙리스트에 없을 거니까요. ip 정도는 proxy를 이용하여 쉽게 바꿀 수 있습니다. 번거로워서 그렇지, 우회할 수 있는 방법은 다양합니다. 화이트리스트를 유지한다면, 처음 접근하는 사용자에 대해서는 수작업으로 등록해야 하겠죠. 나름대로 효과적이지만, 관리자의 수작업을 요구하는 번거로운 작업을 요구합니다.
"People have migrated to this type of model because threats are no longer black and white—you also have shades of grey," said Alperovitch.
인증 레벨을 reputation에 반영하는 방법은 저도 예전에 고려해 봤습니다만, 실제로 idp가 해당 인증 레벨로 사용자를 인증했는지를 증명할 방도가 없습니다. idp를 믿을 수 밖에 없죠. 그러면 우선 신뢰하는 idp 목록이 있어야 할테고, 다른 idp들은 차별을 받을 수 밖에 없습니다. ip와 같은 부가적인 요소로 사용자의 reputation을 평가하는 방법은 이전 단락에서 설명한 것처럼 우회할 수 있구요.
A reputation system can also be beneficial for identity and access management. Traditional user names and passwords are highly vulnerable to compromise, so the security community has evolved to two—factor authentication, where tools such as one—time passcode tokens and biometric measurements are also used to identify a person. Another way to authenticate a user is to look at the likelihood that this person is who he or she says they are. For example, a user could log in to a bank account located in San Diego, but the user name, password and token information is identified as originating from an IP address in Russia that has been associated with criminal activities. Because TrustedSource is aware of the reputation of this IP address, the authentication request from that login attempt can be blocked based on that critical information.
한국을 방문한 David Recordon이 OpenID 보안을 위해 화이트리스트를 구성할 계획이라고 말했습니다. OpenID 메일링리스트에서도 관련된 논의가 이루어지고 있구요. 다음 포스트에서는 OpenID 메일링리스트에서 논의되는 내용을 소개하겠습니다.
이 글과 관련있는 글을 자동검색한 결과입니다 [?]
- 평판, 신뢰 문제.. Openid.org 를 조심하세요. by S_H_Kim
- OpenID 공개서적; 드래프트 버전 by S_H_Kim
- Sun의 OpenID 서버 구조 by 넷콩
- OpenID by 옷장수
- 더 안전한 OpenID를 위한 팁 by S_H_Kim
# by | 2007/08/02 10:30 | 기타 ID 동향 | 트랙백 | 덧글(2)
Commented by kay at 2007/08/02 21:24 
Commented by S_H_Kim at 2007/08/07 09:47 ※ 이 포스트는 더 이상 덧글을 남길 수 없습니다.
