ID mở có an toàn không, ví dụ bạn có thể sử dụng nó để đăng nhập vào tài khoản ngân hàng không?
ID mở có an toàn không, ví dụ bạn có thể sử dụng nó để đăng nhập vào tài khoản ngân hàng không?
Câu trả lời:
OpenID an toàn như nhà cung cấp OpenID (tức là "Nếu ai đó xâm nhập vào tài khoản Myspace của bạn, họ đã có quyền truy cập vào OpenID của bạn và mọi thứ sử dụng nó").
Cá nhân tôi sẽ không tin tưởng nó với bất cứ điều gì có giá trị. Hầu hết các nhà cung cấp OpenID có hồ sơ theo dõi bảo mật khá tệ hại.
OpenID is as secure as the OpenID provider
, thành X is as secure as the X provider
: trong trường hợp đó bạn không nói gì cả. Mặc dù tuyên bố của bạn là đúng, nhưng nó thật điên rồ: Tôi nghĩ rằng bất kỳ ai có đủ kiến thức để thiết lập và duy trì OpenID có lẽ ít nhất là đủ điều kiện như một ngân hàng vì một người đang bán một giải pháp kỹ thuật, trong khi người kia đang bán một giải pháp tài chính . Có, tôi tin tưởng Google / Yahoo / Verisign nhiều hơn tôi tin vào Washington Mutual
Mặc dù tôi đồng ý với voretaq7 rằng OpenID chỉ an toàn như nhà cung cấp OpenID, tôi phải nói rằng khi chọn nhà cung cấp OpenID để sử dụng, phải cẩn thận để đảm bảo rằng bạn đang sử dụng nhà cung cấp có uy tín. Ý tưởng tương tự này áp dụng cho mọi thứ phải làm với bảo mật. Google, AOL và tôi nghĩ ngay cả Verisign hiện cung cấp OpenID và các công ty / nhà cung cấp này có hồ sơ theo dõi tốt.
Một trong những lợi thế chính của OpenID so với bảo mật gia đình hoặc một số gói bên thứ ba khác là nó đặt khía cạnh xác thực của bảo mật trong tay các công ty có nhiều kinh nghiệm và nhiều tài nguyên hơn để xử lý nó so với hầu hết các thực thể nhỏ hơn. Họ có xu hướng có khả năng tốt hơn để bảo vệ máy chủ và dữ liệu của họ. Là nhân viên của một cửa hàng nhỏ, tôi chắc chắn sẽ tin tưởng Google hơn chính bản thân mình để định cấu hình chính xác các máy chủ, tường lửa, v.v ... cần thiết để bảo vệ dữ liệu này.
Tuy nhiên, OpenID cũng dễ bị tổn thương trước khía cạnh nguy hiểm nhất - tất cả những người dùng chọn thông tin đăng nhập yếu.
abc123
như mật khẩu của họ ...
OpenID là một cách để ủy quyền xác thực cho bên thứ ba. Đối với một ứng dụng có độ tin cậy cao như ngân hàng, người bạn ủy quyền xác thực là một quyết định bảo mật quan trọng. Giao thức openID là đủ cho bất kỳ tiêu chuẩn nào cho phép xác thực một yếu tố (mã xác thực openID) hoặc xác thực được ủy quyền cho một hệ thống có đủ các biện pháp bảo vệ xác thực.
Câu hỏi tiếp theo: Có nhà cung cấp openID hiện tại nào đủ an toàn cho ngân hàng trực tuyến không?
Đó là một câu hỏi khác nhau, và có lẽ là tiêu cực ngay bây giờ. Tuy nhiên, không có gì (kỹ thuật) dừng lại, giả sử, một tập đoàn các ngân hàng Mỹ tập hợp các nguồn lực để tạo ra một nhà cung cấp openID ngân hàng duy nhất tuân theo một tiêu chuẩn đã nêu và được kiểm toán. Nhà cung cấp openID đó có thể sử dụng bất kỳ phương thức xác thực nào cần thiết, có thể là SiteKey, SecureID, vuốt thẻ thông minh hoặc bất kỳ phương thức nào khác được yêu cầu. Tôi cho rằng khả năng này khó xảy ra đối với các ngân hàng thương mại lớn, nhưng cộng đồng Credit Union có thể thử nó.
OpenID an toàn như yếu nhất trong số (1) trang web bạn đang cố đăng nhập; (2) nhà cung cấp OpenID của bạn; hoặc (3) hệ thống DNS.
Sự giới thiệu:
Những điểm yếu:
Một hệ quả trực tiếp của thực tế này là OpenID thể lúc tốt nhất được bảo mật như các trang web mà bạn đang cố gắng đăng nhập vào; nó không bao giờ có thể an toàn hơn
Trong chuyển hướng giao thức OpenID, nhà cung cấp của bạn chịu sự kiểm soát của trang web mà bạn đang đăng nhập, điều này dẫn đến các cuộc tấn công lừa đảo và tấn công trung gian tầm thường. Các cuộc tấn công như vậy sẽ cho phép một trang web thù địch đánh cắp thông tin đăng nhập OpenID của bạn mà bạn không biết , sau đó chúng có thể sử dụng để đăng nhập vào bất kỳ trang web hỗ trợ OpenID nào khác như bạn.
Các cuộc tấn công DNS phức tạp hơn, nhưng sẽ cho phép kẻ tấn công thuyết phục ngân hàng của bạn rằng anh ta là nhà cung cấp OpenID của bạn. Kẻ tấn công đăng nhập bằng OpenID của bạn và được nhà cung cấp giả mạo của mình cấp phép cho ngân hàng. Trong trường hợp này, kẻ tấn công không cần phải lừa đảo bạn hoặc tìm hiểu mật khẩu của bạn hoặc cài đặt bất cứ thứ gì trên máy tính của bạn - tất cả những gì anh ta cần là OpenID của bạn.
Tương tự, một cuộc tấn công vào nhà cung cấp OpenID của bạn sẽ cho phép kẻ tấn công đăng nhập như bạn trên bất kỳ trang web hỗ trợ OpenID nào mà không cần biết mật khẩu của bạn.
Thông tin thêm về các điểm yếu và các cuộc tấn công của OpenID tại http://www.untrusty.ca/cache/openid.html .
OpenID là một giao thức. Giao thức rất an toàn, tuy nhiên phương thức backend-auth không cần phải có. Bạn có thể chạy một cổng thông tin OpenId sẽ xác nhận người dùng từ hộp dos qua telnet ở Bangladesh.
Có đủ an toàn cho ngân hàng? Đúng. Trong thực tế, tôi muốn tất cả các nhà cung cấp ngân hàng sẽ cho phép nó. Hơn nữa, nếu bạn muốn tin tưởng các nhà cung cấp dịch vụ ngân hàng hơn các nhà cung cấp công nghệ khác - sẽ không hay nếu họ cung cấp nó?