Korean Identity Management(KIM)

title; Identity 2.0: How Attackers Break into Identity-centric Services
link; http://www.informit.com/articles/article.aspx?p=787262&seqNum=4

Identity 2.0 시대에는 사용자가 자신의 모든 identity를 제어할 수 있습니다. 이 말은 identity 정보가 사용자의 로컬 PC에 있는 웹브라우저를 경유해서 이동한다는 것입니다. 권한이 생긴다는 건, 그만큼의 책임을 요구하죠. 사용자 중심의 identity 관리에서는 보안이 가장 우선이 되어야 합니다.

The most obvious one is that once a user-centric identity is lost, it may as well be lost forever. Call it identity theft on steroids. It is probably the worst thing can happen to your online self.

Identity 2.0 환경에서 예상되는 공격으로는 크로스-사이트 스크립트(XSS), 크로스-사이트 요청 메시지 조작, 피싱 공격, 삽입 공격, 사전 공격 등등이 있습니다. OpenID를 비롯한 Identity 2.0 기술만 이런 공격에 취약한 건 아닙니다. 하지만 '왜 OpenID만 가지고 그래. 다른 기술들도 마찬가지로 취약하단 말야'라는 태도는 지양해야 하겠죠. 특히 OpenID처럼 실제 필드에서 활용되는 기술일수록 이런 공격들에 대한 대비를 철저히 해야 합니다.

The most dangerous types of attacks that Identity 2.0 providers will soon face are also the ones that endanger Web 2.0 services today, including cross-site scripting, cross-site request forgeries, phishing attacks, and (last but not least) backend injection and simple dictionary attacks.

왜냐하면, 한번 사용자의 identity가 노출당하면 끝이기 때문입니다. 타인이 내 행세를 하면서 내 정보를 이용하더라도, 나는 알 방도가 없습니다. 사용 기록이 로그로 남아도, 당사자는 지울 수 있죠. 삭제해 버리면 어떻게 알겠습니까?
 
사이트마다 하나의 계정을 만들고 쉽게 관리하는 방법이 가장 최선일까요? CardSpace와 같은 클라이언트 툴을 이용해서 말이죠. 그래야만 한 사이트의 계정이 노출되더라도 피해를 최소화시킬 수 있습니다. 그렇다면 OpenID와 같이 하나의 계정으로 모든 인터넷 서비스를 이용하는 구조에는 어떤 방법이 가장 좋을까요?

However, once an identity is compromised, the game is pretty much over because attackers have full control of the victim's online experience. This is not that easy to achieve with the directory-centric architecture on which most web services are based today.

Attackers can compromise one account, but they cannot automatically get access to everything the victim has. Identity 2.0 services are definitely the way forward. The next step is to find a way to secure them.