Gli accessi OpenID sono compromessi con la violazione dei forum di Ubuntu?

18

Onestamente non ricordo cosa usavo per accedere ai forum di Ubuntu, ma sono abbastanza sicuro che fosse OpenID. Dovrei essere preoccupato?

ubuntu-forums

— georgebrindeiro
fonte

4

Elettore / i ravvicinato / i OT: questa domanda è decisamente in tema; aiutiamo le persone con risorse della comunità Ubuntu qui ( "Servizi forniti da Ubuntu" ). Inoltre, non appartiene a meta , che è solo per domande su Ask Ubuntu stesso (non su altri siti relativi a Ubuntu). Potrebbe essere considerato un duplicato di questa domanda precedente . Se chiudiamo uno di questi come duplicato dell'altro, consiglio di unire le loro risposte.

— Eliah Kagan,

Informazioni sulla fusione di risposte: avevo visto l'altra domanda ma non sapevo se ciò si applicava al mio caso, a dire il vero.

— georgebrindeiro,

15

Poiché l'accesso di OpenID viene sempre elaborato dal lato dell'emittente (ad esempio, se usi OpenID ottenuto da Launchpad, i forum contatteranno Launchpad ed è Launchpad che elabora la tua autenticazione), i forum non mantengono la tua password OpenID (non non ne ho affatto bisogno).

Pertanto, tutti gli aggressori che possono ottenere è il tuo login OpenID, ma non la password, dal momento che non è effettivamente lì.

Inoltre, solo per completezza, secondo questo annuncio ufficiale , sono interessati solo i forum, nessun altro servizio lo è.

— Rafał Cieślak
fonte

1

Non è solo il caso in cui non è necessario salvarlo: non possono nemmeno salvarlo come un buon relying OpenID non vede mai la password dell'utente.

— Martin Thoma,

8

Da http://openid.net/

Con OpenID, la tua password viene fornita solo al tuo provider di identità e quel provider conferma la tua identità ai siti Web visitati. A parte il tuo provider, nessun sito web vede mai la tua password, quindi non devi preoccuparti che un sito Web senza scrupoli o insicuro comprometta la tua identità.

Il provider di identità è ad esempio Google e il sito Web che visiti è UF.

Quindi sì, dovresti essere al sicuro.

— Rinzwind
fonte

3

In generale (almeno per quanto ne so) quando si utilizza un account Open ID per accedere, l'autenticazione viene gestita esclusivamente dal sito Web esterno (quindi, ad esempio, se dovessi utilizzare Facebook per accedere qui, l'autenticazione sarebbe gestito esclusivamente da Facebook e non da Ask Ubuntu). L'altro sito consegna solo un identificatore univoco che dice al forum di Ubuntu / Chiedi a Ubuntu / qualunque cosa tu sia, e non trasmette i tuoi dati di accesso.

Quindi le password memorizzate (+ hash e salate) dal forum Ubuntu dovrebbero essere solo per account locali (come menzionato nella sezione "Cosa sappiamo" della pagina di manutenzione corrente)

Ovviamente se sei ancora preoccupato per questo, non farebbe male a cambiare le tue password - e per la tranquillità sarebbe probabilmente una buona idea farlo comunque - ma per quanto ne so a meno che il servizio che hai usato per autenticare il tuo Open ID è stato violato (Google, Facebook, ecc.) non ci dovrebbero essere troppi motivi di preoccupazione.

Vedere questa pagina sul sito Web OpenID per ulteriori dettagli.

— Jez W
fonte

1

Se davvero è stato utilizzato OpenID: No .

Il processo di accesso viene eseguito tra il tuo provider OpenID e te. I servizi che ti consentono di utilizzare OpenID non vedono nemmeno la tua password! Non è possibile come ubuntuforums abbia memorizzato la password.

Risorse OpenID

Le seguenti risorse potrebbero aiutarti a capire come funziona OpenID.

Un video di YouTube
Wikipedia
Un sacco di contenuti di Google su OpenID (L'immagine è molto buona)

— Martin Thoma
fonte