Open ID è sicuro, ad esempio puoi usarlo per accedere a conti bancari?
Open ID è sicuro, ad esempio puoi usarlo per accedere a conti bancari?
Risposte:
OpenID è sicuro come il provider OpenID (ad esempio "Se qualcuno si rompe nel tuo account Myspace hanno accesso al tuo OpenID e tutto ciò che lo utilizza").
Personalmente non mi fiderei di nulla di prezioso. La maggior parte dei provider OpenID ha una traccia di sicurezza piuttosto scadente.
OpenID is as secure as the OpenID provider
, a X is as secure as the X provider
: in tal caso non stai affermando nulla. Sebbene la tua affermazione sia vera, è insensata: penso che chiunque abbia le conoscenze sufficienti per creare e mantenere OpenID sia probabilmente qualificato almeno come una banca sul merito che uno sta vendendo una soluzione tecnica, mentre l'altro sta vendendo una soluzione finanziaria . Sì, mi fido di Google / Yahoo / Verisign molto più di quanto mi fidi di Washington Mutual
Mentre sono d'accordo con voretaq7 che OpenID è sicuro quanto il provider OpenID, dovrei dire che quando si seleziona un provider OpenID da usare, è necessario assicurarsi che si stia utilizzando un provider affidabile. Questa stessa idea si applica a tutto ciò che riguarda la sicurezza. Google, AOL e penso che anche Verisign ora offra OpenID e queste aziende / provider hanno un buon track record.
Uno dei principali vantaggi di OpenID rispetto alla sicurezza domestica o ad altri pacchetti di terze parti è che mette l'aspetto dell'autenticazione della sicurezza nelle mani di aziende con più esperienza e più risorse per gestirla rispetto alla maggior parte delle entità più piccole. Tendono ad avere una migliore capacità di proteggere i propri server e dati. Come dipendente di un piccolo negozio, mi sarei sicuramente fidato di Google più di me stesso per configurare correttamente i server, i firewall, ecc. Necessari per proteggere questi dati.
Tuttavia, OpenID è altrettanto vulnerabile all'aspetto più pericoloso di tutti: gli utenti che scelgono credenziali deboli.
abc123
come password ...
OpenID è un modo per delegare l'autenticazione a una terza parte. Per un'applicazione ad alta affidabilità come il settore bancario, a cui delegare l'autenticazione è una decisione di sicurezza importante. Il protocollo openID così com'è è sufficiente per qualsiasi standard che consenta l'autenticazione a fattore singolo (token di autenticazione openID) o l'autenticazione delegata a un sistema che dispone di sufficienti garanzie di autenticazione.
La prossima domanda: gli attuali provider openID sono abbastanza sicuri per l'online banking?
Questa è una domanda diversa, ed è probabilmente negativa al momento. Tuttavia, non c'è nulla (tecnico) che fermi, per esempio, un consorzio di banche americane che riunisce le risorse per creare un unico provider openID bancario che segue uno standard dichiarato e viene verificato. Tale provider openID può utilizzare qualsiasi metodo di autenticazione di cui abbia bisogno, sia che si tratti di SiteKey, SecureID, scorrimento con smart card o qualsiasi altra cosa sia richiesta. Ritengo improbabile questa possibilità per le principali banche commerciali, ma la comunità di Credit Union potrebbe semplicemente provarla.
OpenID è sicuro quanto il più debole di (1) il sito a cui stai tentando di accedere; (2) il tuo provider OpenID; o (3) il sistema DNS.
Raccomandazione:
Punti di debolezza:
Una conseguenza immediata di questo fatto è che OpenID può al massimo essere sicuro quanto il sito a cui stai tentando di accedere; non può mai essere più sicuro.
Nel protocollo OpenID il reindirizzamento al tuo provider è sotto il controllo del sito a cui stai effettuando l'accesso, il che porta a banali phishing e attacchi man-in-the-middle. Tali attacchi consentiranno a un sito ostile di rubare le tue credenziali OpenID a tua insaputa , che potranno quindi utilizzare in seguito per accedere a qualsiasi altro sito abilitato OpenID come te.
Gli attacchi DNS sono più complicati, ma consentiranno a un utente malintenzionato di convincere la tua banca di essere il tuo fornitore OpenID. L'aggressore accede usando OpenID e fa autorizzare il suo falso fornitore alla banca. In questo caso l'attaccante non ha bisogno di phishing o di apprendere la password o di installare nulla sul tuo computer - tutto ciò di cui ha bisogno è il tuo OpenID.
Allo stesso modo, un attacco al tuo provider OpenID consentirà all'autore dell'attacco di accedere come te su qualsiasi sito abilitato per OpenID, senza conoscere la tua password.
Maggiori informazioni sui punti deboli e gli attacchi di OpenID su http://www.untrusted.ca/cache/openid.html .
OpenID è un protocollo. Il protocollo è molto sicuro, tuttavia non è necessario il metodo backend-auth. È possibile eseguire un portale OpenId che convaliderà un utente da una casella DOS su Telnet in Bangladesh.
È abbastanza sicuro per il settore bancario? Sì. In realtà vorrei che tutti i fornitori bancari lo permettessero. Inoltre, se vuoi fidarti dei fornitori di servizi bancari più di altri fornitori di tecnologia, non sarebbe bello se lo fornissero ?