Существуют ли какие-либо риски безопасности, связанные со мной, используя OpenID в качестве метода проверки подлинности на моем сайте?

Ответ 1

На самом деле я всегда не любил OpenID по разным причинам.

• Я должен доверять провайдеру OpenID, которому я предоставил свои данные. Я доверяю определенным сторонам до определенной степени, но только потому, что я могу доверять Stack Overflow, я не доверяю автоматически любому из известных поставщиков OpenID.

  2. Если мой пароль OpenID скомпрометирован, все мои сайты, на которых я использую OpenID, скомпрометированы. Обычно я выбрал другой пароль для каждого сайта, который я использую, но я не могу с OpenID.

  3. Мне вообще не нравится концепция Persona. Несмотря на то, что меня спрашивают перед отправкой каких-либо данных, просто не кажется правильным, что один поставщик имеет эту информацию, и другие службы могут ее запросить. Хорошо, я не должен использовать его, если мне не нравится, но концепция кажется мне неправильной.

  4. Как уже упоминалось, данные отправляются между сайтом и провайдером OpenID и обратно. Всякий раз, когда данные обмениваются, это может быть скомпрометировано. Система не защищена на 100%; даже не SSL (HTTPS). Это разница, если данные только перемещаются от меня в сторону и обратно к себе, или если она также перемещается с этой стороны на другую и обратно.

  5. Если поставщик OpenID взломан, и хакер получает данные для входа всех пользователей (ведь они прекрасны централизовано в одном месте!), просто подумайте о влиянии!

Просто чтобы назвать несколько. Я также не вижу большого преимущества OpenID. Для пользователя они говорят

• Более быстрая и простая регистрация и логин
  • Уменьшенное разочарование от забытого имени пользователя/пароля
  • Ведение персональных данных на предпочтительных сайтах
  • Минимизировать риски безопасности паролей.

Хорошо, пусть проанализирует это.

(1) Как часто вы регистрируетесь на странице в день? 200 раз? Если я зарегистрируюсь на 2 страницы в неделю, это уже чертовски много. Обычно, скорее всего, 2-3 месяца максимум (на самом деле Stack Overflow, или мой провайдер OpenID для использования Stack Overflow, была последней зарегистрированной мной страницей, и это было не совсем вчера). Итак, когда вы регистрируетесь на 2 сайта в месяц, у вас нет 5 минут, чтобы заполнить форму? Давай, не будь смешным.

(2) Как? Потому что он везде использует один и тот же пароль? "Это не будущее, это ошибка", - говорили многие эксперты по безопасности. Или потому, что он позволяет мне восстановить мой пароль по почте? Ну, на самом деле почти любая используемая мной сторона позволяет мне это делать. Несмотря на это, мой Firefox очень хорошо запоминает мои пароли, хранит их в зашифрованном виде на диске (используя главный пароль), и эта зашифрованная база данных регулярно обновляется, чтобы никогда не потеряться.

(3) Ну, это, вероятно, что-то положительное... однако, мое имя так и не изменилось, мой адрес электронной почты не будет либо как один из домена, который я использую, и перенаправлен на реальный адрес ( поэтому реальный может измениться, я просто обновляю вперед, и все работает как раньше). Мой адрес? Ну, некоторые люди много двигаются. До сих пор я двигался только один раз за всю свою жизнь. Однако большинству сторон не нужно знать мой адрес. Сайты, на которых я не вижу причин, чтобы люди знали эту информацию, но которые требуют от меня заполнить ее для регистрации, просто получите поддельную. Во всем Интернете есть очень мало сайтов, которые знают мой реальный адрес (на самом деле только те, кому когда-либо приходилось отправлять мне уличную почту или я могу заказать товары).

(4) На самом деле я вижу это наоборот. Он максимизирует риск безопасности. Как это минимизирует риск?

Ответ 2

Я согласен со многими пунктами, которые Дэвид делает выше, поэтому я делаю несколько моментов здесь только ради аргумента.

Для знающего пользователя я бы сказал, что OpenID - это более безопасная форма аутентификации, чем предоставляют многие веб-сайты. Теперь позвольте мне подтвердить это выражение. Во-первых, что я имею в виду под знающим пользователем? Я бы определил этого человека как человека, который знает о слабых сторонах OpenID и кто принимает меры для их смягчения:

• Поддерживает несколько персонажей, если они не хотят, чтобы веб-сайты могли эффективно отслеживать их.
• Регистрирует два или более провайдера OpenID на сайтах, где проблема 24/7 является проблемой.
• Всегда подключается непосредственно к поставщику OpenID. Они никогда не заходят на страницу, которую сторонний веб-сайт перенаправил на нее.

Многие веб-сайты не знают, как безопасно поддерживать пароли пользователей. Очень хорошая вещь с OpenID заключается в том, что я выбираю свой провайдер OpenID и, следовательно, уровень аутентификации, необходимый для входа в полагающуюся сторону. Например, я могу выбрать делегирование аутентификации Verisign или Trustbearer - оба из них обеспечивают гораздо более сильные методы аутентификации, чем большинство веб-сайтов в Интернете. Я бы скорее доверял организации, которая специализируется на безопасности с моим паролем, чем какой-то случайный веб-сайт в Интернете. Поэтому я бы сказал, что для знающего пользователя OpenID может быть более безопасным, чем каждый веб-сайт, реализующий свою собственную систему аутентификации.

Все, что сказано, большинство пользователей не знают о факторах риска, присущих OpenID, и не предпринимают шагов для снижения рисков.

Ответ 3

OpenID по своей сути небезопасен. Он работает на вашем сайте, перенаправляя пользователя на сайт открытого провайдера ID, а затем принимает идентификатор обратно с этого сайта. Это обеспечивает неуверенность в обоих направлениях. Вы должны доверять идентификатору, который возвращается (так как у вас нет возможности аутентифицировать пользователя самостоятельно), и легко управлять прокси-сервером для открытого провайдера идентификаторов пользователей, что позволяет украсть их имя пользователя и пароль.

OpenID отлично подходит для чего-то вроде Stack Overflow, где не важно, кто-то олицетворяет вас. Использование OpenID для сайтов с более серьезными - на личном уровне - контент крайне рискован. Например, если вы используете OpenID для своей электронной почты, то любой, кто крадет ваш идентификатор, может получить доступ к вашей электронной почте. Затем они могли в свою очередь отправлять запросы напоминания пароля другим сайтам, которые вы используете для получения паролей для этих сайтов. В худшем случае вы можете использовать OpenID для банковского счета или иметь банк, который отправляет напоминания по электронной почте на свою учетную запись электронной почты...

В OpenID существует множество других проблем с безопасностью. Вы можете найти более подробную информацию в "Конфиденциальность в Интернете" .

Ответ 4

OpenID добавляет другую сторону к процессу аутентификации, который вы должны рассматривать как доверенный компонент. Это очень похоже на то, что касается любого приложения, которое позволяет восстанавливать данные по электронной почте, но в то время как ваши сообщения электронной почты передаются в открытом виде, вы можете общаться с поставщиками OpenID только через проверенные соединения HTTPS.

Просмотрите раздел Вопросы безопасности в спецификации.

Для отличного описания слабых мест в OpenID и демонстрации того, как хороший провайдер OpenID может предоставить гораздо более безопасный опыт, чем традиционный легко-фишинговый пароль, см. это короткое видео Ким Камерона из Identity Weblog.

Ответ 5

OpenID можно сделать более безопасным, если вы решите игнорировать все поставщики OpenID, которые не поддерживают HTTPS

Ответ 6

Я думаю, что основная слабость большинства поставщиков OpenId заключается в том, что они предлагают восстановление пароля по электронной почте. Это снижает безопасность OpenId до уровня безопасности моего поставщика электронной почты. Если кто-то получает доступ к моей учетной записи электронной почты, он может эффективно украсть мою личность (с OpenId или без нее).

Использование OpenId для аутентификации упрощает кражу ym. Просто получите доступ к моей учетной записи электронной почты и reset моему паролю OpenId. Больше ничего не нужно (вместо 100 запросов reset для каждого из моих учетных записей в Интернете).

Хуже того, если злоумышленник изменит мой пароль учетной записи электронной почты, мне будет очень сложно доказать, что я являюсь первоначальным владельцем этой учетной записи OpenId. Злоумышленник может изменить связанную учетную запись электронной почты на свой, так что я не могу reset пароль, даже если я верну свою учетную запись электронной почты позже.

Достаточно получить доступ к электронной почте для восстановления пароля, которую мой поставщик OpenId отправляет, чтобы украсть мою личность.

Поставщики OpenId предлагают отключить восстановление пароля электронной почты и обеспечить более безопасный способ восстановления потерянного пароля. Что-то основано на почтовом адресе, паспорте или банковском счете (вещи, которым я доверяю больше, чем учетная запись электронной почты).

Пока учетная запись OpenId может быть перехвачена, просто получив доступ к одному электронному письму, это не более чем одна отдельная точка сбоя.

Смотрите также: http://danielmiessler.com/blog/from-password-reset-mechanisms-to-openid-a-brief-discussion-of-online-password-security, где также находится ссылка "Самый слабый канал: пароль электронной почты reset".

Ответ 7

Пока эта ветка старая, я хотел добавить свои 2 цента. Я думаю, что OpenId имеет один недостаток, о котором никто, похоже, не заботится. Когда я проверяю подлинность с Yahoo, он фактически регистрирует меня в Yahoo. Он не должен регистрировать вас в yahoo, он должен просто подтвердить, что у вас есть правильные учетные данные с yahoo. Когда вы выходите из моего приложения, вы все равно регистрируетесь в Yahoo. Если вы уйдете от общего компьютера, а другой отправится в yahoo, вы войдете в систему. Потому что, когда вы аутентифицировались с помощью Yahoo, они также регистрируют вас на своем сервисе. Они должны просто аутентифицировать вас, а не регистрировать вас. Я рассказал об этом нескольким людям и даже продемонстрировал это с помощью stackoverflow.com(у которого есть ужасный механизм выхода из системы, когда я удаляю выход из системы, я ожидаю, что его выйдут из системы, а не нажмите другая кнопка выхода из системы). Попробуйте этот выход из yahoo или gmail. Закройте все свои вкладки, а затем войдите в stackoverflow с yahoo/gmail. Затем выйдите из.. (убедитесь, что вы дважды удалили выход). Теперь перейдите к yahoo или gmail, вы вошли в систему. Теперь я получаю сообщение "Не использовать общий компьютер, вы должны выйти из системы Yahoo/gmail и т.д."... Все не являются разработчиками со степенью MIS или информатикой, моя свекровь думает, когда она выйдет из Stackoverflow, что она еще не войдет в Yahoo. Возможно, я я пропустил какой-то парм или что-то, что на самом деле заставило бы то, что я хочу, но, конечно, не в документации, рассказывающей вам, насколько велика OpenId!!!

Ответ 8

Уч. MyOpenID сообщает неподтвержденные адреса электронной почты, просто сделал тест для этого. Похоже, что электронной почте следует доверять только для некоторых поставщиков белого белого списка, таких как google/yahoo и несколько других. Я свяжу код здесь, если кто-то заинтересован.

Ответ 9

Мне нравится Verisign VIP-доступ, который могут использовать сайты, и есть приятное небольшое приложение для iPhone, которое позволит вам создать свой сгенерированный токен, подобно secureID