Id mở có an toàn không?


9

ID mở có an toàn không, ví dụ bạn có thể sử dụng nó để đăng nhập vào tài khoản ngân hàng không?


1
Có, 2.0 rất an toàn. Hãy đọc en.wikipedia.org/wiki/OpenID "OpenID không cung cấp hình thức xác thực riêng, nhưng nếu nhà cung cấp nhận dạng sử dụng xác thực mạnh, OpenID có thể được sử dụng cho các giao dịch an toàn như ngân hàng và thương mại điện tử."
Evan Carroll

1
Vâng, tôi nghĩ rằng câu hỏi thực sự là ... Nhà cung cấp OpenID của bạn có an toàn không?
Andor

Câu trả lời:


8

OpenID an toàn như nhà cung cấp OpenID (tức là "Nếu ai đó xâm nhập vào tài khoản Myspace của bạn, họ đã có quyền truy cập vào OpenID của bạn và mọi thứ sử dụng nó").

Cá nhân tôi sẽ không tin tưởng nó với bất cứ điều gì có giá trị. Hầu hết các nhà cung cấp OpenID có hồ sơ theo dõi bảo mật khá tệ hại.


1
Tôi nghĩ rằng bạn đang xem xét những lợi thế của OpenID và viết chúng ra chỉ là sự tiện lợi.
Evan Carroll

3
@Evan: OpenID có rất nhiều lợi thế - thực tế tôi sử dụng OpenID cho các trang web bộ ba SO. Tuy nhiên, không có ưu điểm nào phủ nhận mối lo ngại về bảo mật của tôi và tôi chắc chắn sẽ không tin tưởng vào bảo mật của nhà cung cấp OpenID với thông tin tài khoản ngân hàng của mình :-)
voretaq7

2
Chắc chắn họ làm, làm thế nào về việc giảm tuyên bố của bạn OpenID is as secure as the OpenID provider, thành X is as secure as the X provider: trong trường hợp đó bạn không nói gì cả. Mặc dù tuyên bố của bạn là đúng, nhưng nó thật điên rồ: Tôi nghĩ rằng bất kỳ ai có đủ kiến ​​thức để thiết lập và duy trì OpenID có lẽ ít nhất là đủ điều kiện như một ngân hàng vì một người đang bán một giải pháp kỹ thuật, trong khi người kia đang bán một giải pháp tài chính . Có, tôi tin tưởng Google / Yahoo / Verisign nhiều hơn tôi tin vào Washington Mutual
Evan Carroll

3
@Evan - Bất kỳ dịch vụ nào theo định nghĩa chỉ an toàn như nhà cung cấp. Ý kiến ​​của tôi là OpenID, trong khi một giao thức có giá trị, không cung cấp đủ các đảm bảo về cấu trúc về tính bảo mật của các nhà cung cấp để tôi tin tưởng vào nó để xác thực quan trọng. Bạn có thể không đồng ý với đánh giá của tôi, nhưng tôi đứng sau những gì tôi đã nói.
voretaq7

3
@Evan, bạn dường như khá đam mê chủ đề này, thậm chí đến mức bị ám ảnh. Có lẽ bạn cần lùi lại một bước và có một cái nhìn khác. Thực tế là BẠN tin tưởng OpenID không làm cho nó an toàn. Chúng tôi không phải là người đầu tiên không tin tưởng nó và chắc chắn sẽ không phải là người cuối cùng. Đối với yếu tố thuận tiện, đó không phải là chủ đề của câu hỏi.
John Gardeniers

5

Mặc dù tôi đồng ý với voretaq7 rằng OpenID chỉ an toàn như nhà cung cấp OpenID, tôi phải nói rằng khi chọn nhà cung cấp OpenID để sử dụng, phải cẩn thận để đảm bảo rằng bạn đang sử dụng nhà cung cấp có uy tín. Ý tưởng tương tự này áp dụng cho mọi thứ phải làm với bảo mật. Google, AOL và tôi nghĩ ngay cả Verisign hiện cung cấp OpenID và các công ty / nhà cung cấp này có hồ sơ theo dõi tốt.

Một trong những lợi thế chính của OpenID so với bảo mật gia đình hoặc một số gói bên thứ ba khác là nó đặt khía cạnh xác thực của bảo mật trong tay các công ty có nhiều kinh nghiệm và nhiều tài nguyên hơn để xử lý nó so với hầu hết các thực thể nhỏ hơn. Họ có xu hướng có khả năng tốt hơn để bảo vệ máy chủ và dữ liệu của họ. Là nhân viên của một cửa hàng nhỏ, tôi chắc chắn sẽ tin tưởng Google hơn chính bản thân mình để định cấu hình chính xác các máy chủ, tường lửa, v.v ... cần thiết để bảo vệ dữ liệu này.

Tuy nhiên, OpenID cũng dễ bị tổn thương trước khía cạnh nguy hiểm nhất - tất cả những người dùng chọn thông tin đăng nhập yếu.


1
Google, Verisign, v.v. có thể đang cung cấp OpenID "an toàn hợp lý", nhưng bất kỳ ai cũng có thể là nhà cung cấp OpenID và toàn bộ khái niệm về OpenID (theo tôi hiểu) là chấp nhận OpenID hợp lệ từ bất kỳ nhà cung cấp nào để mọi người không có để thiết lập một loạt các tài khoản khác nhau. Có người lựa chọn một nhà cung cấp OpenID không an toàn (hoặc một với khôi phục mật khẩu không an toàn) có thể là gần như nguy hiểm như người dùng sử dụng abc123như mật khẩu của họ ...
voretaq7

2
Nó sẽ xuất hiện rằng người nguy hiểm duy nhất xung quanh là người dùng. Họ là những người chọn mật khẩu là gì, nếu họ sử dụng OpenID và nên là ai. Có nên có trách nhiệm bảo vệ họ khỏi chính họ?
Chris

2
Nếu bạn đang chạy một dịch vụ chấp nhận OpenID để xác thực, bạn có thể dễ dàng liệt kê danh sách đen các nhà cung cấp không đáng tin cậy hoặc các nhà cung cấp tốt được biết đến trong danh sách trắng. Bằng cách đó, bạn có thể tránh các nhà cung cấp cho phép người dùng đặt mật khẩu không an toàn.
GAThrawn

1
@Chris: Miễn là chúng ta phải đứng trước cơn bão đổ lỗi khi một tài khoản bị xâm phạm, vâng - ít nhất là một phần. (Đó là lý do tại sao một số trang web có chính sách mật khẩu như "> = 8 ký tự, chữ số + ít nhất 1 ký tự đặc biệt").
voretaq7

@ voretaq7: ai cũng có thể là Ngân hàng.
Evan Carroll

5

OpenID là một cách để ủy quyền xác thực cho bên thứ ba. Đối với một ứng dụng có độ tin cậy cao như ngân hàng, người bạn ủy quyền xác thực là một quyết định bảo mật quan trọng. Giao thức openID là đủ cho bất kỳ tiêu chuẩn nào cho phép xác thực một yếu tố (mã xác thực openID) hoặc xác thực được ủy quyền cho một hệ thống có đủ các biện pháp bảo vệ xác thực.

Câu hỏi tiếp theo: Có nhà cung cấp openID hiện tại nào đủ an toàn cho ngân hàng trực tuyến không?

Đó là một câu hỏi khác nhau, và có lẽ là tiêu cực ngay bây giờ. Tuy nhiên, không có gì (kỹ thuật) dừng lại, giả sử, một tập đoàn các ngân hàng Mỹ tập hợp các nguồn lực để tạo ra một nhà cung cấp openID ngân hàng duy nhất tuân theo một tiêu chuẩn đã nêu và được kiểm toán. Nhà cung cấp openID đó có thể sử dụng bất kỳ phương thức xác thực nào cần thiết, có thể là SiteKey, SecureID, vuốt thẻ thông minh hoặc bất kỳ phương thức nào khác được yêu cầu. Tôi cho rằng khả năng này khó xảy ra đối với các ngân hàng thương mại lớn, nhưng cộng đồng Credit Union có thể thử nó.


1
Tôi sẽ xem xét VeriSign PIP và có lẽ MyOpenID đủ an toàn cho ngân hàng.
dùng1686

2

OpenID an toàn như yếu nhất trong số (1) trang web bạn đang cố đăng nhập; (2) nhà cung cấp OpenID của bạn; hoặc (3) hệ thống DNS.

Sự giới thiệu:

  • Sử dụng hệ thống bảo mật / đăng nhập được đề nghị của ngân hàng của bạn và hiểu các điều khoản & điều kiện dịch vụ để bạn biết các quyền của mình nếu tài khoản của bạn bị xâm phạm.
  • Không khuyến khích ngân hàng của bạn chấp nhận OpenID, vì điều này sẽ làm giảm tính bảo mật của dịch vụ của họ.

Những điểm yếu:

Một hệ quả trực tiếp của thực tế này là OpenID thể lúc tốt nhất được bảo mật như các trang web mà bạn đang cố gắng đăng nhập vào; nó không bao giờ có thể an toàn hơn

Trong chuyển hướng giao thức OpenID, nhà cung cấp của bạn chịu sự kiểm soát của trang web mà bạn đang đăng nhập, điều này dẫn đến các cuộc tấn công lừa đảo và tấn công trung gian tầm thường. Các cuộc tấn công như vậy sẽ cho phép một trang web thù địch đánh cắp thông tin đăng nhập OpenID của bạn mà bạn không biết , sau đó chúng có thể sử dụng để đăng nhập vào bất kỳ trang web hỗ trợ OpenID nào khác như bạn.

Các cuộc tấn công DNS phức tạp hơn, nhưng sẽ cho phép kẻ tấn công thuyết phục ngân hàng của bạn rằng anh ta là nhà cung cấp OpenID của bạn. Kẻ tấn công đăng nhập bằng OpenID của bạn và được nhà cung cấp giả mạo của mình cấp phép cho ngân hàng. Trong trường hợp này, kẻ tấn công không cần phải lừa đảo bạn hoặc tìm hiểu mật khẩu của bạn hoặc cài đặt bất cứ thứ gì trên máy tính của bạn - tất cả những gì anh ta cần là OpenID của bạn.

Tương tự, một cuộc tấn công vào nhà cung cấp OpenID của bạn sẽ cho phép kẻ tấn công đăng nhập như bạn trên bất kỳ trang web hỗ trợ OpenID nào mà không cần biết mật khẩu của bạn.

Thông tin thêm về các điểm yếu và các cuộc tấn công của OpenID tại http://www.untrusty.ca/cache/openid.html .


1

OpenID là một giao thức. Giao thức rất an toàn, tuy nhiên phương thức backend-auth không cần phải có. Bạn có thể chạy một cổng thông tin OpenId sẽ xác nhận người dùng từ hộp dos qua telnet ở Bangladesh.

Có đủ an toàn cho ngân hàng? Đúng. Trong thực tế, tôi muốn tất cả các nhà cung cấp ngân hàng sẽ cho phép nó. Hơn nữa, nếu bạn muốn tin tưởng các nhà cung cấp dịch vụ ngân hàng hơn các nhà cung cấp công nghệ khác - sẽ không hay nếu họ cung cấp nó?


1
Chỉ vì một ngân hàng được ủy thác tiền của bạn, điều đó có khiến họ đủ điều kiện để xử lý danh tính kỹ thuật số không?
Chris

1
@chris: Không, không. nhưng đó dường như là xu hướng của chủ đề này. Tôi muốn các ngân hàng kiên quyết xử lý tiền và sử dụng google để xử lý xác thực của tôi. Vấn đề là, bạn không tin ai, ai đó không phải là ngân hàng hay ngân hàng: nếu mọi ngân hàng là nhà cung cấp và người tiêu dùng cởi mở, bạn có thể sử dụng xác thực của họ trên google hoặc google trên ngân hàng - OpenID chỉ là giao thức cho phép họ giao tiếp.
Evan Carroll
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.