Да, 2.0 очень безопасен. Читайте en.wikipedia.org/wiki/OpenID «OpenID не предоставляет свою собственную форму аутентификации, но если провайдер идентификации использует строгую аутентификацию, OpenID можно использовать для безопасных транзакций, таких как банковские операции и электронная коммерция».
Эван Кэрролл
1
Да, я думаю, что реальный вопрос в том ... Безопасен ли ваш поставщик OpenID?
Андор
Ответы:
8
OpenID так же безопасен, как и поставщик OpenID (т. Е. «Если кто-то взломает вашу учетную запись Myspace, он получит доступ к вашему OpenID и всему, что его использует»).
Лично я бы не стал доверять этому что-либо ценное. Большинство провайдеров OpenID имеют довольно отвратительный послужной список безопасности.
Я думаю, что вы упускаете из виду преимущества OpenID и списываете их на удобство.
Эван Кэрролл
3
@Evan: OpenID имеет много преимуществ - на самом деле я использую OpenID для сайтов трилогии SO. Однако ни одно из преимуществ не отменяет моих проблем с безопасностью, и я, конечно, не стал бы доверять безопасности своего провайдера OpenID с помощью информации о моем банковском счете :-)
voretaq7
2
Конечно, они делают, как насчет сокращения вашего заявления OpenID is as secure as the OpenID provider, чтобы X is as secure as the X provider: в этом случае вы вообще ничего не заявляете. Хотя ваше утверждение верно, оно бессмысленно: я думаю, что любой человек, обладающий достаточными знаниями для настройки и поддержки OpenID, вероятно, по крайней мере настолько же квалифицирован, как и банк, потому что один продает техническое решение, а другой - финансовое. , Да, я доверяю Google / Yahoo / Verisign гораздо больше, чем Вашингтонскому Взаимному
Эван Кэрролл
3
@Evan - Любая служба по определению является такой же безопасной, как и поставщик. Мое мнение таково, что OpenID, хотя и является ценным протоколом, не предоставляет достаточных структурных гарантий в отношении безопасности его провайдеров, чтобы я доверял ему критическую аутентификацию. Вы можете не согласиться с моей оценкой, но я поддерживаю то, что сказал.
voretaq7
3
@ Эван, ты, кажется, довольно увлечен этой темой, даже до такой степени, что одержим. Возможно, вам нужно сделать шаг назад и посмотреть еще раз. Тот факт, что ВЫ доверяете OpenID, не делает его безопасным. Мы не первые, кто не доверяет этому и, конечно, не будет последним. Что касается фактора удобства, это не тема вопроса.
Джон Гарденье
5
Хотя я согласен с voretaq7 в том, что OpenID является настолько же безопасным, что и поставщик OpenID, я должен сказать, что при выборе поставщика OpenID следует позаботиться о том, чтобы использовать надежного поставщика. Эта же идея относится ко всему, что связано с безопасностью. Google, AOL и я думаю, что даже Verisign теперь предлагает OpenID, и эти компании / провайдеры имеют хороший послужной список.
Одним из основных преимуществ OpenID по сравнению с домашней системой безопасности или каким-либо другим сторонним пакетом является то, что он предоставляет аспект аутентификации безопасности в руки компаний, обладающих большим опытом и большими ресурсами для его обработки, чем большинство небольших компаний. Они, как правило, лучше защищают свои серверы и данные. Будучи сотрудником небольшого магазина, я, безусловно, доверял бы Google больше, чем себе, чтобы правильно настроить серверы, брандмауэры и т. Д., Необходимые для защиты этих данных.
Однако OpenID так же уязвим для самого опасного аспекта - пользователей, которые выбирают слабые учетные данные.
Google, Verisign и т. Д., Вероятно, предоставляют «достаточно безопасные» OpenID, но любой может быть OpenID-провайдером, и вся концепция OpenID (насколько я понимаю) заключается в том, чтобы принять действительный OpenID от любого провайдера, чтобы люди не имели создать кучу разных аккаунтов. Кто-то, выбирающий небезопасного поставщика OpenID (или тот, у кого небезопасное восстановление пароля), может быть почти таким же опасным, как пользователи, которые используют abc123свои пароли ...
voretaq7
2
Казалось бы, единственный опасный человек вокруг - это пользователь. Именно они выбирают пароль, если используют OpenID и кем он должен быть. Должна ли наша ответственность защищать их от самих себя?
Крис
2
Если вы работаете с сервисом, который принимает OpenID для аутентификации, вы можете легко занести в черный список ненадежных провайдеров или в белый список известных хороших провайдеров. Таким образом, вы можете избежать провайдеров, которые позволяют пользователю устанавливать небезопасный пароль.
GAThrawn
1
@Chris: Пока мы должны стоять перед штормом обвинений, когда учетная запись взломана, да - по крайней мере, частично. (Вот почему некоторые сайты имеют политики паролей, такие как «> = 8 символов, буквенно-цифровой + как минимум 1 специальный символ»).
voretaq7
@ voretaq7: Банком тоже может быть любой.
Эван Кэрролл
5
OpenID - это способ делегировать аутентификацию третьей стороне. Для приложения с высоким уровнем доверия, такого как банковское дело, которому вы делегируете аутентификацию, является важным решением безопасности. Протокол openID в его нынешнем виде достаточен для любого стандарта, который разрешает либо однофакторную аутентификацию (токен openID), либо делегированную аутентификацию системе, которая имеет достаточные гарантии аутентификации.
Следующий вопрос: достаточно ли безопасны текущие провайдеры openID для онлайн-банкинга?
Это другой вопрос, и, вероятно, сейчас он отрицательный. Однако ничто (техническое) не остановит, скажем, консорциум американских банков, объединивших ресурсы для создания единого банковского провайдера openID, который следует установленному стандарту и подвергается аудиту. Этот провайдер openID может использовать любые методы аутентификации, которые ему нужны, будь то SiteKey, SecureID, считывание смарт-карт или что-то еще. Я считаю такую возможность маловероятной для крупных коммерческих банков, но сообщество Кредитного Союза может просто попробовать это.
Я бы посчитал VeriSign PIP и, вероятно, MyOpenID достаточно безопасным для банковской деятельности.
user1686
2
OpenID так же безопасен, как и самый слабый из (1) сайта, на который вы пытаетесь войти; (2) ваш поставщик OpenID; или (3) система DNS.
Рекомендация:
Используйте рекомендованную банком систему безопасности / входа в систему и понимайте условия обслуживания, чтобы вы знали свои права, если ваша учетная запись взломана.
Не поощряйте ваш банк принимать OpenID, так как это снизит безопасность их обслуживания.
Недостатки:
Непосредственным следствием этого факта является то, что OpenID в лучшем случае может быть таким же безопасным, как и сайт, на который вы пытаетесь войти; это никогда не может быть более безопасным.
В протоколе OpenID перенаправление на вашего провайдера находится под контролем сайта, на который вы входите, что приводит к банальным фишинговым атакам и атакам типа «человек посередине». Такие атаки позволят враждебному сайту украсть ваши учетные данные OpenID без вашего ведома , которые они затем смогут использовать для входа на любой другой сайт с поддержкой OpenID, как вы.
Атаки DNS более сложны, но позволят злоумышленнику убедить ваш банк, что он ваш поставщик OpenID. Злоумышленник входит в систему, используя ваш OpenID, и его поддельный провайдер дает разрешение банку. В этом случае злоумышленнику не нужно фишировать вас, изучать ваш пароль или устанавливать что-либо на ваш компьютер - все, что ему нужно, это ваш OpenID.
Аналогичным образом атака на вашего поставщика OpenID позволит злоумышленнику войти в систему, как и вы, на любом сайте с поддержкой OpenID, не зная вашего пароля.
OpenID - это протокол. Протокол очень безопасен, однако метод backend-auth не обязателен. Вы можете запустить портал OpenId, который будет проверять пользователя из коробки с надписью «Телнет» в Бангладеш.
Это достаточно безопасно для банковского дела? Да. На самом деле я бы хотел, чтобы все банковские провайдеры разрешили это. Кроме того, если вы хотите доверять банковским провайдерам больше, чем другим провайдерам технологий, не было бы неплохо, если бы они предоставили это?
Только потому, что банку доверены ваши деньги, делает ли он их квалифицированными для работы с цифровыми удостоверениями?
Крис
1
@ Крис: Нет, это не так. но это, кажется, тенденция для этой темы. Я предпочел бы банки придерживаться обработки денег и использовать Google для обработки моей аутентификации. Суть в том, что не имеет значения, кому вы доверяете, кому-то, кроме банка или банка: если бы каждый банк был openid-провайдером и потребителем, вы могли бы использовать их аутентификацию в Google или Google в банке - OpenID - это просто протокол, позволяющий им общаться.
Ответы:
OpenID так же безопасен, как и поставщик OpenID (т. Е. «Если кто-то взломает вашу учетную запись Myspace, он получит доступ к вашему OpenID и всему, что его использует»).
Лично я бы не стал доверять этому что-либо ценное. Большинство провайдеров OpenID имеют довольно отвратительный послужной список безопасности.
источник
OpenID is as secure as the OpenID provider
, чтобыX is as secure as the X provider
: в этом случае вы вообще ничего не заявляете. Хотя ваше утверждение верно, оно бессмысленно: я думаю, что любой человек, обладающий достаточными знаниями для настройки и поддержки OpenID, вероятно, по крайней мере настолько же квалифицирован, как и банк, потому что один продает техническое решение, а другой - финансовое. , Да, я доверяю Google / Yahoo / Verisign гораздо больше, чем Вашингтонскому ВзаимномуХотя я согласен с voretaq7 в том, что OpenID является настолько же безопасным, что и поставщик OpenID, я должен сказать, что при выборе поставщика OpenID следует позаботиться о том, чтобы использовать надежного поставщика. Эта же идея относится ко всему, что связано с безопасностью. Google, AOL и я думаю, что даже Verisign теперь предлагает OpenID, и эти компании / провайдеры имеют хороший послужной список.
Одним из основных преимуществ OpenID по сравнению с домашней системой безопасности или каким-либо другим сторонним пакетом является то, что он предоставляет аспект аутентификации безопасности в руки компаний, обладающих большим опытом и большими ресурсами для его обработки, чем большинство небольших компаний. Они, как правило, лучше защищают свои серверы и данные. Будучи сотрудником небольшого магазина, я, безусловно, доверял бы Google больше, чем себе, чтобы правильно настроить серверы, брандмауэры и т. Д., Необходимые для защиты этих данных.
Однако OpenID так же уязвим для самого опасного аспекта - пользователей, которые выбирают слабые учетные данные.
источник
abc123
свои пароли ...OpenID - это способ делегировать аутентификацию третьей стороне. Для приложения с высоким уровнем доверия, такого как банковское дело, которому вы делегируете аутентификацию, является важным решением безопасности. Протокол openID в его нынешнем виде достаточен для любого стандарта, который разрешает либо однофакторную аутентификацию (токен openID), либо делегированную аутентификацию системе, которая имеет достаточные гарантии аутентификации.
Следующий вопрос: достаточно ли безопасны текущие провайдеры openID для онлайн-банкинга?
Это другой вопрос, и, вероятно, сейчас он отрицательный. Однако ничто (техническое) не остановит, скажем, консорциум американских банков, объединивших ресурсы для создания единого банковского провайдера openID, который следует установленному стандарту и подвергается аудиту. Этот провайдер openID может использовать любые методы аутентификации, которые ему нужны, будь то SiteKey, SecureID, считывание смарт-карт или что-то еще. Я считаю такую возможность маловероятной для крупных коммерческих банков, но сообщество Кредитного Союза может просто попробовать это.
источник
OpenID так же безопасен, как и самый слабый из (1) сайта, на который вы пытаетесь войти; (2) ваш поставщик OpenID; или (3) система DNS.
Рекомендация:
Недостатки:
Непосредственным следствием этого факта является то, что OpenID в лучшем случае может быть таким же безопасным, как и сайт, на который вы пытаетесь войти; это никогда не может быть более безопасным.
В протоколе OpenID перенаправление на вашего провайдера находится под контролем сайта, на который вы входите, что приводит к банальным фишинговым атакам и атакам типа «человек посередине». Такие атаки позволят враждебному сайту украсть ваши учетные данные OpenID без вашего ведома , которые они затем смогут использовать для входа на любой другой сайт с поддержкой OpenID, как вы.
Атаки DNS более сложны, но позволят злоумышленнику убедить ваш банк, что он ваш поставщик OpenID. Злоумышленник входит в систему, используя ваш OpenID, и его поддельный провайдер дает разрешение банку. В этом случае злоумышленнику не нужно фишировать вас, изучать ваш пароль или устанавливать что-либо на ваш компьютер - все, что ему нужно, это ваш OpenID.
Аналогичным образом атака на вашего поставщика OpenID позволит злоумышленнику войти в систему, как и вы, на любом сайте с поддержкой OpenID, не зная вашего пароля.
Дополнительную информацию о недостатках и атаках OpenID можно найти по адресу http://www.untrusted.ca/cache/openid.html .
источник
OpenID - это протокол. Протокол очень безопасен, однако метод backend-auth не обязателен. Вы можете запустить портал OpenId, который будет проверять пользователя из коробки с надписью «Телнет» в Бангладеш.
Это достаточно безопасно для банковского дела? Да. На самом деле я бы хотел, чтобы все банковские провайдеры разрешили это. Кроме того, если вы хотите доверять банковским провайдерам больше, чем другим провайдерам технологий, не было бы неплохо, если бы они предоставили это?
источник