Czy otwarty identyfikator jest bezpieczny?

9

Czy otwarty identyfikator jest bezpieczny, na przykład czy możesz go użyć do zalogowania się na konta bankowe?

security  openid 
Daniel
źródło
1
Tak, 2.0 jest bardzo bezpieczny. Idź przeczytaj en.wikipedia.org/wiki/OpenID „OpenID nie zapewnia własnej formy uwierzytelnienia, ale jeśli dostawca tożsamości korzysta z silnego uwierzytelnienia, OpenID może być wykorzystywany do bezpiecznych transakcji, takich jak bankowość i handel elektroniczny”.
Evan Carroll,
1
Tak, myślę, że prawdziwe pytanie brzmi ... Czy twój dostawca OpenID jest bezpieczny?
Andor

Odpowiedzi:

8

OpenID jest tak samo bezpieczny, jak dostawca OpenID (tzn. „Jeśli ktoś włamie się na twoje konto Myspace, ma dostęp do Twojego OpenID i wszystkiego, co z niego korzysta”).

Osobiście nie ufałbym temu w niczym wartościowym. Większość dostawców OpenID ma dość kiepską historię bezpieczeństwa.

voretaq7
źródło
1
Myślę, że przeoczasz zalety OpenID i zapisujesz je jako zwykłą wygodę.
Evan Carroll,
3
@Evan: OpenID ma wiele zalet - w rzeczywistości używam OpenID dla stron trylogii SO. Żadna z zalet nie neguje jednak moich obaw związanych z bezpieczeństwem i na pewno nie ufam bezpieczeństwu mojego dostawcy OpenID informacjami o moim koncie bankowym :-)
voretaq7
2
Jasne, że tak, a co z redukcją twojego oświadczenia OpenID is as secure as the OpenID providerdo X is as secure as the X provider: w takim przypadku w ogóle nic nie stwierdzasz. Chociaż twoje oświadczenie jest prawdziwe, jest szalone: ​​Myślę, że każdy, kto ma wystarczającą wiedzę, aby skonfigurować i utrzymywać OpenID, jest prawdopodobnie co najmniej tak wykwalifikowany jak bank pod tym względem, że jeden sprzedaje rozwiązanie techniczne, podczas gdy drugi sprzedaje finansowy . Tak, ufam Google / Yahoo / Verisign o wiele bardziej niż ufam Washington Mutual
Evan Carroll
3
@Evan - Każda usługa jest z definicji tak bezpieczna jak dostawca. Uważam, że OpenID, chociaż jest cennym protokołem, nie zapewnia wystarczających gwarancji strukturalnych dotyczących bezpieczeństwa swoich dostawców, żebym mógł zaufać krytycznemu uwierzytelnieniu. Możesz się nie zgodzić z moją oceną, ale ja popieram to, co powiedziałem.
voretaq7
3
@Evan, wydajesz się raczej pasjonatem tego tematu, nawet do tego stopnia, że ​​masz obsesję. Być może musisz cofnąć się o krok i spojrzeć jeszcze raz. Fakt, że TY ufasz OpenID, nie czyni go bezpiecznym. Nie jesteśmy pierwszymi, którzy nie ufają temu i na pewno nie będą ostatnimi. Jeśli chodzi o czynnik wygody, nie jest to temat pytania.
John Gardeniers,
5

Chociaż zgadzam się z voretaq7, że OpenID jest tak bezpieczny, jak dostawca OpenID, muszę powiedzieć, że wybierając dostawcę OpenID do użycia, należy zachować ostrożność, aby upewnić się, że używasz renomowanego dostawcy. Ten sam pomysł dotyczy wszystkiego, co dotyczy bezpieczeństwa. Google, AOL i myślę, że nawet Verisign oferuje teraz OpenID, a te firmy / dostawcy mają dobre osiągnięcia.

Jedną z głównych zalet OpenID w porównaniu z rodzimymi zabezpieczeniami lub innymi pakietami stron trzecich jest to, że oddaje aspekt uwierzytelniania bezpieczeństwa w ręce firm z większym doświadczeniem i większą ilością zasobów do obsługi tego niż większość mniejszych podmiotów. Zwykle mają lepszą zdolność ochrony swoich serwerów i danych. Jako pracownik małego sklepu z pewnością zaufałbym Google bardziej niż mnie, jeśli chodzi o prawidłowe skonfigurowanie serwerów, zapór sieciowych itp. Niezbędnych do ochrony tych danych.

Jednak OpenID jest równie podatny na najbardziej niebezpieczny aspekt ze wszystkich - użytkowników, którzy wybierają słabe dane uwierzytelniające.

DCNYAM
źródło
1
Google, Verisign itp. Zapewne zapewniają „rozsądnie bezpieczne” OpenID, ale każdy może być dostawcą OpenID, a cała koncepcja OpenID (jak rozumiem) polega na akceptowaniu prawidłowego OpenID od dowolnego dostawcy, aby ludzie nie mieli założyć kilka różnych kont. Ktoś wybierający niezabezpieczonego dostawcę OpenID (lub takiego z niepewnym odzyskiwaniem hasła) może być prawie tak niebezpieczny, jak użytkownicy, którzy używają abc123swoich haseł ...
voretaq7
2
Wydaje się, że jedyną niebezpieczną osobą w pobliżu jest użytkownik. To oni wybierają hasło, jeśli używają OpenID i kim powinno być. Czy powinniśmy być odpowiedzialni za ochronę ich przed sobą?
Chris
2
Jeśli prowadzisz usługę, która akceptuje uwierzytelnianie OpenID, możesz łatwo umieścić na czarnej liście niewiarygodnych dostawców lub umieścić na białej liście znanych dobrych dostawców. W ten sposób można uniknąć dostawców, którzy pozwalają użytkownikowi ustawić niepewne hasło.
GAThrawn
1
@Chris: Tak długo, jak musimy stanąć przed winą, gdy konto zostanie przejęte, tak - przynajmniej częściowo. (Dlatego niektóre witryny mają zasady haseł, takie jak „> = 8 znaków, alfanumerycznie + co najmniej 1 znak specjalny”).
voretaq7
@ voretaq7: każdy może być także bankiem.
Evan Carroll,
5

OpenID to sposób na przekazanie uwierzytelnienia stronie trzeciej. W przypadku aplikacji o wysokim zaufaniu, takich jak bankowość, której przekazujesz uwierzytelnianie, to ważna, ważna decyzja dotycząca bezpieczeństwa. Obecny protokół openID jest wystarczający dla każdego standardu, który umożliwia uwierzytelnianie jednoskładnikowe (token uwierzytelniający openID) lub uwierzytelnianie delegowane do systemu, który ma wystarczające zabezpieczenia uwierzytelniania.

Następne pytanie: czy którykolwiek z obecnych dostawców openID jest wystarczająco bezpieczny dla bankowości internetowej?

To inne pytanie i prawdopodobnie jest teraz negatywne. Jednak nic (technicznego) nie powstrzyma, powiedzmy, konsorcjum amerykańskich banków łączących zasoby w celu stworzenia jednego bankowego dostawcy openID, który będzie zgodny z ustalonym standardem i będzie kontrolowany. Ten dostawca openID może używać dowolnych potrzebnych metod uwierzytelniania, czy to SiteKey, SecureID, machnięcia kartą inteligentną, czy cokolwiek innego. Uważam tę możliwość za mało prawdopodobną dla głównych banków komercyjnych, ale społeczność Credit Union może po prostu spróbować.

sysadmin1138
źródło
1
Uważam, że VeriSign PIP i prawdopodobnie MyOpenID są wystarczająco bezpieczne dla bankowości.
user1686,
2

OpenID jest tak bezpieczny, jak najsłabsza z (1) witryny, do której próbujesz się zalogować; (2) twój dostawca OpenID; lub (3) system DNS.

Rekomendacje:

  • Skorzystaj z zalecanego przez bank systemu bezpieczeństwa / logowania i zrozum warunki świadczenia usług, aby poznać swoje prawa w przypadku naruszenia bezpieczeństwa konta.
  • Nie zachęcaj swojego banku do przyjęcia OpenID, ponieważ zmniejszy to bezpieczeństwo ich usług.

Słabości:

Bezpośrednią konsekwencją tego faktu jest to, że OpenID może co najwyżej być tak bezpieczne, jak witryny, którą próbujesz zalogować się do; nigdy nie może być bardziej bezpieczne.

W protokole OpenID przekierowanie do twojego dostawcy jest kontrolowane przez stronę, na którą się logujesz, co prowadzi do trywialnych ataków typu phishing i man-in-the-middle. Takie ataki pozwolą wrogiej witrynie na kradzież danych uwierzytelniających OpenID bez Twojej wiedzy , których mogą później użyć do zalogowania się na dowolnej innej stronie obsługującej OpenID.

Ataki DNS są bardziej skomplikowane, ale pozwolą atakującemu przekonać bank, że jest on dostawcą OpenID. Atakujący loguje się przy użyciu Twojego identyfikatora OpenID i zleca jego fałszywemu dostawcy autoryzację banku. W takim przypadku osoba atakująca nie musi cię wyłudzać, uczyć się hasła ani instalować czegokolwiek na twoim komputerze - wszystko czego potrzebuje to Twój OpenID.

Podobnie atak na twojego dostawcę OpenID pozwoli atakującemu zalogować się jak ty na dowolnej stronie obsługującej OpenID, bez znajomości twojego hasła.

Więcej informacji na temat słabych stron i ataków OpenID można znaleźć na stronie http://www.untrusted.ca/cache/openid.html .

Twylite
źródło
1

OpenID to protokół. Protokół jest bardzo bezpieczny, jednak nie musi to być metoda backend-auth. Możesz uruchomić portal OpenId, który zweryfikuje użytkownika z poziomu dos box przez telnet w Bangladeszu.

Czy jest wystarczająco bezpieczny dla bankowości? Tak. W rzeczywistości chciałbym, aby wszyscy dostawcy usług bankowych na to zezwalali. Ponadto, jeśli chcesz ufać dostawcom usług bankowych bardziej niż innym dostawcom technologii - czy nie byłoby miło, gdyby ci to zapewniali ?

Evan Carroll
źródło
1
Czy tylko dlatego, że bankowi powierzono twoje pieniądze, czy kwalifikują się one do obsługi tożsamości cyfrowych?
Chris,
1
@chris: Nie, nie ma. ale wydaje się, że jest to trend w tym wątku. Wolę, żeby banki trzymały się pieniędzy i korzystały z Google do obsługi mojego uwierzytelnienia. Chodzi o to, że nie ma znaczenia, komu ufasz, komuś innemu niż bank lub bank: jeśli każdy bank był otwartym dostawcą i konsumentem, możesz użyć ich uwierzytelnienia w Google lub Google w banku - OpenID jest po prostu protokół umożliwiający im komunikację.
Evan Carroll
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.