Open id è sicuro?


9

Open ID è sicuro, ad esempio puoi usarlo per accedere a conti bancari?


1
Sì, 2.0 è molto sicuro. Vai a leggere en.wikipedia.org/wiki/OpenID "OpenID non fornisce la propria forma di autenticazione, ma se un provider di identità utilizza un'autenticazione forte, OpenID può essere utilizzato per transazioni sicure come banche ed e-commerce."
Evan Carroll,

1
Sì, penso che la vera domanda sia ... Il tuo provider OpenID è sicuro?
Andor,

Risposte:


8

OpenID è sicuro come il provider OpenID (ad esempio "Se qualcuno si rompe nel tuo account Myspace hanno accesso al tuo OpenID e tutto ciò che lo utilizza").

Personalmente non mi fiderei di nulla di prezioso. La maggior parte dei provider OpenID ha una traccia di sicurezza piuttosto scadente.


1
Penso che stai trascurando i vantaggi di OpenID e cancellandoli come semplice convenienza.
Evan Carroll,

3
@Evan: OpenID ha molti vantaggi - infatti utilizzo OpenID per i siti della trilogia SO. Nessuno dei vantaggi nega tuttavia i miei problemi di sicurezza e certamente non mi fiderei della sicurezza del mio provider OpenID con le informazioni del mio conto bancario :-)
voretaq7

2
Certo che lo fanno, che ne dici di ridurre la tua affermazione OpenID is as secure as the OpenID provider, a X is as secure as the X provider: in tal caso non stai affermando nulla. Sebbene la tua affermazione sia vera, è insensata: penso che chiunque abbia le conoscenze sufficienti per creare e mantenere OpenID sia probabilmente qualificato almeno come una banca sul merito che uno sta vendendo una soluzione tecnica, mentre l'altro sta vendendo una soluzione finanziaria . Sì, mi fido di Google / Yahoo / Verisign molto più di quanto mi fidi di Washington Mutual
Evan Carroll

3
@Evan - Qualsiasi servizio è per definizione sicuro solo quanto il provider. La mia opinione è che OpenID, sebbene sia un protocollo valido, non offre sufficienti garanzie strutturali sulla sicurezza dei suoi provider per potermi fidare di esso per l'autenticazione critica. Sei libero di non essere d'accordo con la mia valutazione, ma sono dietro ciò che ho detto.
voretaq7,

3
@Evan, sembra che tu sia piuttosto appassionato di questo argomento, fino al punto di essere ossessionato. Forse devi fare un passo indietro e dare un'altra occhiata. Il fatto che TU ti fidi di OpenID non lo rende sicuro. Non siamo i primi a non diffidare di lui e sicuramente non sarà l'ultimo. Per quanto riguarda il fattore convenienza, non è questo l'argomento della domanda.
John Gardeniers,

5

Mentre sono d'accordo con voretaq7 che OpenID è sicuro quanto il provider OpenID, dovrei dire che quando si seleziona un provider OpenID da usare, è necessario assicurarsi che si stia utilizzando un provider affidabile. Questa stessa idea si applica a tutto ciò che riguarda la sicurezza. Google, AOL e penso che anche Verisign ora offra OpenID e queste aziende / provider hanno un buon track record.

Uno dei principali vantaggi di OpenID rispetto alla sicurezza domestica o ad altri pacchetti di terze parti è che mette l'aspetto dell'autenticazione della sicurezza nelle mani di aziende con più esperienza e più risorse per gestirla rispetto alla maggior parte delle entità più piccole. Tendono ad avere una migliore capacità di proteggere i propri server e dati. Come dipendente di un piccolo negozio, mi sarei sicuramente fidato di Google più di me stesso per configurare correttamente i server, i firewall, ecc. Necessari per proteggere questi dati.

Tuttavia, OpenID è altrettanto vulnerabile all'aspetto più pericoloso di tutti: gli utenti che scelgono credenziali deboli.


1
Google, Verisign, ecc. Stanno probabilmente fornendo OpenID "ragionevolmente sicuri", ma chiunque può essere un fornitore OpenID, e l'intero concetto di OpenID (come ho capito) è accettare un OpenID valido da qualsiasi fornitore in modo che le persone non abbiano per creare un sacco di account diversi. Qualcuno che seleziona un provider OpenID non sicuro (o uno con recupero della password non sicuro) potrebbe essere quasi pericoloso quanto gli utenti che usano abc123come password ...
voretaq7,

2
Sembrerebbe che l'unica persona pericolosa in circolazione sia l'utente. Sono quelli che selezionano quale sia la password, se usano OpenID e chi dovrebbe essere. Dovrebbe essere nostra responsabilità proteggerli da se stessi?
Chris,

2
Se stai eseguendo un servizio che accetta OpenID per l'autenticazione, potresti facilmente inserire nella black list i provider non affidabili o i white list noti fornitori validi. In questo modo è possibile evitare i provider che consentono all'utente di impostare una password non sicura.
GAThrawn

1
@ Chris: Finché dovremo rimanere di fronte alla tempesta di colpa quando un account è compromesso, sì, almeno in parte. (Ecco perché alcuni siti hanno criteri di password come "> = 8 caratteri, alfanumerici + almeno 1 carattere speciale").
voretaq7,

@ voretaq7: chiunque può essere anche una banca.
Evan Carroll,

5

OpenID è un modo per delegare l'autenticazione a una terza parte. Per un'applicazione ad alta affidabilità come il settore bancario, a cui delegare l'autenticazione è una decisione di sicurezza importante. Il protocollo openID così com'è è sufficiente per qualsiasi standard che consenta l'autenticazione a fattore singolo (token di autenticazione openID) o l'autenticazione delegata a un sistema che dispone di sufficienti garanzie di autenticazione.

La prossima domanda: gli attuali provider openID sono abbastanza sicuri per l'online banking?

Questa è una domanda diversa, ed è probabilmente negativa al momento. Tuttavia, non c'è nulla (tecnico) che fermi, per esempio, un consorzio di banche americane che riunisce le risorse per creare un unico provider openID bancario che segue uno standard dichiarato e viene verificato. Tale provider openID può utilizzare qualsiasi metodo di autenticazione di cui abbia bisogno, sia che si tratti di SiteKey, SecureID, scorrimento con smart card o qualsiasi altra cosa sia richiesta. Ritengo improbabile questa possibilità per le principali banche commerciali, ma la comunità di Credit Union potrebbe semplicemente provarla.


1
Considererei VeriSign PIP e probabilmente MyOpenID abbastanza sicuri per il settore bancario.
user1686

2

OpenID è sicuro quanto il più debole di (1) il sito a cui stai tentando di accedere; (2) il tuo provider OpenID; o (3) il sistema DNS.

Raccomandazione:

  • Utilizza il sistema di sicurezza / login consigliato dalla tua banca e comprendi i termini e le condizioni del servizio in modo da conoscere i tuoi diritti se il tuo account è compromesso.
  • Non incoraggiare la tua banca ad adottare OpenID, poiché ciò ridurrebbe la sicurezza del loro servizio.

Punti di debolezza:

Una conseguenza immediata di questo fatto è che OpenID può al massimo essere sicuro quanto il sito a cui stai tentando di accedere; non può mai essere più sicuro.

Nel protocollo OpenID il reindirizzamento al tuo provider è sotto il controllo del sito a cui stai effettuando l'accesso, il che porta a banali phishing e attacchi man-in-the-middle. Tali attacchi consentiranno a un sito ostile di rubare le tue credenziali OpenID a tua insaputa , che potranno quindi utilizzare in seguito per accedere a qualsiasi altro sito abilitato OpenID come te.

Gli attacchi DNS sono più complicati, ma consentiranno a un utente malintenzionato di convincere la tua banca di essere il tuo fornitore OpenID. L'aggressore accede usando OpenID e fa autorizzare il suo falso fornitore alla banca. In questo caso l'attaccante non ha bisogno di phishing o di apprendere la password o di installare nulla sul tuo computer - tutto ciò di cui ha bisogno è il tuo OpenID.

Allo stesso modo, un attacco al tuo provider OpenID consentirà all'autore dell'attacco di accedere come te su qualsiasi sito abilitato per OpenID, senza conoscere la tua password.

Maggiori informazioni sui punti deboli e gli attacchi di OpenID su http://www.untrusted.ca/cache/openid.html .


1

OpenID è un protocollo. Il protocollo è molto sicuro, tuttavia non è necessario il metodo backend-auth. È possibile eseguire un portale OpenId che convaliderà un utente da una casella DOS su Telnet in Bangladesh.

È abbastanza sicuro per il settore bancario? Sì. In realtà vorrei che tutti i fornitori bancari lo permettessero. Inoltre, se vuoi fidarti dei fornitori di servizi bancari più di altri fornitori di tecnologia, non sarebbe bello se lo fornissero ?


1
Solo perché a una banca sono affidati i tuoi soldi, ciò li rende qualificati per gestire le identità digitali?
Chris,

1
@chris: No, non lo è. ma questa sembra essere la tendenza per questa discussione. Preferirei che le banche si attengano alla gestione del denaro e utilizzino Google per gestire la mia autenticazione. Il punto è che non importa di chi ti fidi, qualcuno diverso dalla banca o dalla banca: se ogni banca fosse un fornitore e un consumatore openid potresti usare la loro autenticazione su google o quella di google sulla banca - OpenID è solo il protocollo per consentire loro di comunicare.
Evan Carroll,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.