Có nguy hiểm trong các nhà cung cấp OpenID giả không?


27

Tôi đã tự hỏi. Vì bất kỳ ai cũng có thể bắt đầu một nhà cung cấp OpenID và vì không có cơ quan trung ương nào phê duyệt các nhà cung cấp OpenID, tại sao các nhà cung cấp OpenID giả mạo lại trở thành một vấn đề?

Ví dụ: một người gửi thư rác có thể bắt đầu một nhà cung cấp OpenID có cửa sau để cho phép anh ta xác thực như bất kỳ người dùng nào khác bị lừa đăng ký trên trang web của mình. Điều này có thể không? Có phải danh tiếng của nhà cung cấp là điều duy nhất ngăn chặn điều này? Chúng ta sẽ thấy danh sách đen nhà cung cấp OpenID và các trang web đánh giá nhà cung cấp OpenID trong tương lai?

Có lẽ tôi không hiểu gì về OpenID hoàn toàn. Vui lòng làm sáng tỏ cho tôi :)

Câu trả lời:


16

OpenID KHÔNG phải là một giao thức an toàn nội tại - nó không có khả năng buộc một nhà cung cấp giả mạo cung cấp bảo mật, cũng như không 'bác sĩ' mỗi nhà cung cấp để đảm bảo an toàn.

OpenID là một cơ chế theo đó bạn có thể lưu trữ thông tin đăng nhập của mình với nhà cung cấp đáng tin cậy và sau đó họ sẽ xác minh bạn với người khác.

Nếu bạn chọn một nhà cung cấp không đáng tin cậy, họ có thể xem và sử dụng mọi thứ bạn có thể sử dụng thông tin đăng nhập của bạn.

OpenID không phải là sự thay thế cho niềm tin.

-Adam


Nhưng không phải là một sự tin tưởng ngầm định cần thiết để hệ thống hoạt động sao? Nếu tôi chấp nhận thông tin đăng nhập Google và Yahoo OpenID và một trong số chúng trở nên không đáng tin, thì bây giờ tôi không ở trong tình huống mà tôi không thể tin rằng người dùng của mình là ai?
duffbeer703

1
OpenID không có nghĩa là để xác minh rằng người dùng là bất cứ điều gì cho trang web của khách hàng. Tất cả những gì nó nói là "Người đăng nhập bây giờ là cùng một người đã thiết lập tài khoản -username- OpenID tại đây" có thể hữu ích cho việc theo dõi tên người dùng / mật khẩu tập trung, nhưng không đảm bảo cho bạn bất cứ điều gì về người dùng đó - chỉ đơn thuần là họ có thông tin xác thực phù hợp để nhà cung cấp OpenID hoàn toàn thuyết phục được họ.
Adam Davis

Tôi đang sử dụng openid như một chuỗi xác định duy nhất. Có bất kỳ khả năng nào một nhà cung cấp lừa đảo cho tôi sự cởi mở như một người dùng hợp pháp trên một nhà cung cấp khác không, Yahoo nói?
Jus12

15

Nó sẽ khá giống với việc có nhà cung cấp email "giả mạo", sẽ đánh cắp email xác nhận của người dùng, v.v. Chỉ có danh tiếng là ngăn chặn điều đó. Poeple đăng ký trên gmail.com hoặc hotmail.com, nhưng không đăng ký trên joesixpack.org.


Nhưng họ đã đăng ký e-mail dùng một lần trên mailinator.com và tôi đang tìm kiếm một nhà cung cấp openid dùng một lần; Tôi cần đăng ký trên một trang web nhảm nhí yêu cầu openId và tôi thực sự không quan tâm đến việc đăng ký theo tài khoản G hoặc FB "thực" của mình.
dan3

9

Jeff có một bài đăng weblog rất hay (và dài) về chủ đề này. Nếu nó không trả lời câu hỏi của bạn, nó chắc chắn sẽ khai sáng cho bạn. Các ý kiến cũng dẫn đến các bài viết rất minh họa . Rat khuyen khich.



0

Cách duy nhất tôi có thể thấy một máy chủ OpenID "lừa đảo" là một vấn đề không phải là vấn đề bảo mật ứng dụng web rất nhiều. Những gì bạn đang làm mặc dù đang cung cấp một trang web với Danh tính của bạn. Họ nói với mọi người rằng bạn là ai, nhưng họ cũng có quyền truy cập vào nó. Nếu một người độc hại thiết lập máy chủ OpenID và mọi người bắt đầu sử dụng nó, chủ sở hữu dịch vụ độc hại có thể mạo danh bất kỳ ai sử dụng máy chủ của họ.

Câu hỏi đặt ra là bạn có tin tưởng chủ sở hữu máy chủ OpenID của mình không?


0

Vấn đề của tôi với OpenID nói chung là nó mới và không có bất kỳ tiêu chuẩn nào (dù sao tôi cũng đã nghe về bất cứ nơi nào) xác định điều gì tạo nên một nhà cung cấp OpenID "tốt". Đối với dữ liệu thẻ tín dụng, có các tiêu chuẩn PCI-DSS để quản lý thông tin thẻ tín dụng - nhưng không tương đương với danh tính.

Cấp, đó là một công nghệ mới thường được sử dụng cho các ứng dụng có yêu cầu "tin cậy" tối thiểu. Nhưng trên các trang web như ServerFault, tôi nghĩ rằng bạn cần một mức độ tin cậy lớn hơn so với blog, nhưng ít hơn so với ngân hàng hoặc nhà môi giới trực tuyến.


Một khung tiềm năng để đánh giá sự phù hợp của nhà cung cấp OpenID cho nhu cầu bảo mật của bạn là Khung Đảm bảo Nhận dạng Tự do, nhưng hiện tại có rất ít nhận thức về điều này trên thị trường OpenID. projectliberty.org/strargetic_initiatives/identity_assurance
keturn

0

Thêm vào câu trả lời trước. Chưa biết về danh sách đen OpenID, nhưng có một sáng kiến ​​tình nguyện về danh sách trắng OpenID . Danh sách trắng đó là một công nghệ phân tán (giống như e-mail, DNS, HTTPS certs), không có điểm thất bại duy nhất, không có điểm tin cậy duy nhất. Bạn có thể tin tưởng danh sách trắng của một số người và anh ta có thể giả mạo nó.

Có ý kiến ​​cho rằng những danh sách trắng đó phải được mở rộng để cung cấp thêm thông tin (tất nhiên không phải cho bất kỳ ai), như hoạt động của người dùng, số bài đăng, số cảnh báo từ người điều hành, v.v. Vì OpenID là danh tính toàn cầu, sẽ giúp thông tin lan truyền gần như ngay lập tức như người dùng này là một người gửi thư rác. Điều này sẽ buộc những kẻ gửi thư rác luôn sử dụng id mới. Hãy tưởng tượng rằng 1000 danh tiếng trên ServerFault khiến bạn cũng là người dùng đáng tin cậy trên hàng ngàn trang web khác.


-2

Đối với những người nghĩ rằng người tiêu dùng OpenId nên để bất kỳ nhà cung cấp OpenId nào là người xác thực, đó chỉ là một cuộc nói chuyện điên rồ. Giả sử bạn có một danh sách người dùng được ủy quyền dựa trên email được chuyển từ các nhà cung cấp mở. Một số người lừa đảo thiết lập dịch vụ nhà cung cấp OpenId của riêng họ và biết email của một trong những người dùng được ủy quyền trước đây của bạn. Người lừa đảo đó sau đó có thể 'xác thực' mình là người dùng được chấp nhận của bạn.

Nếu bạn đang cố gắng bảo mật với openId, bạn phải có một danh sách trắng các nhà cung cấp mà bạn tin tưởng, nếu không, bạn sẽ mở rộng cho bất kỳ ai biết cách thiết lập dịch vụ của nhà cung cấp.


3
Câu trả lời của bạn không chính xác. Đó không phải là cách OpenID hoạt động. Nhà cung cấp OpenID không chuyển địa chỉ email của người dùng trở lại trang web dưới dạng tên người dùng.
longneck
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.