Скомпрометированы ли входы в систему OpenID из-за взлома Ubuntu Forums?

18

Я, честно говоря, не могу вспомнить, что я использовал для входа на форумы Ubuntu, но я совершенно уверен, что это был OpenID. Должен ли я быть обеспокоен?

georgebrindeiro
источник
4
OT закрыть избирателя (ей): Этот вопрос определенно по теме; мы помогаем людям с ресурсами сообщества Ubuntu здесь ( «Услуги, предоставляемые Ubuntu» ). Кроме того, он не относится к мета , который предназначен только для вопросов о Ask Ubuntu (а не о других сайтах, связанных с Ubuntu). Хотя это можно считать дубликатом этого более раннего вопроса . Если мы закроем один из них как дубликат другого, я рекомендую объединить их ответы.
Элия ​​Каган
О слиянии ответов: я видел другой вопрос, но, честно говоря, не знал, относится ли это к моему делу.
Георгбриндейро

Ответы:

15

Поскольку вход в систему OpenID всегда обрабатывается на стороне эмитента (например, если вы используете OpenID, полученный от Launchpad, то Форумы свяжутся с Launchpad, и именно Launchpad обрабатывает вашу аутентификацию), Форумы не сохраняют ваш пароль OpenID (они не это вообще не нужно).

Следовательно, все, что могут получить злоумышленники, - это ваш логин OpenID, но не пароль, поскольку его там на самом деле нет.

Кроме того, просто для полноты, согласно этому официальному объявлению , затронуты только форумы, никаких других сервисов нет.

Рафал Цеслак
источник
1
Дело не только в том, что его не нужно сохранять - они даже не могут его сохранить, поскольку хорошая проверяющая сторона OpenID никогда не увидит пароль пользователя.
Мартин Тома
8

С http://openid.net/

С OpenID ваш пароль предоставляется только вашему провайдеру идентификации, и этот провайдер затем подтверждает вашу личность на посещаемых вами веб-сайтах. За исключением вашего провайдера, ни один веб-сайт никогда не увидит ваш пароль, поэтому вам не нужно беспокоиться о недобросовестном или небезопасном веб-сайте, который может скомпрометировать вашу личность.

Например, провайдером идентификации является Google, а веб-сайт, который вы посещаете, - UF.

Так что да, вы должны быть в безопасности.

Rinzwind
источник
3

Вообще говоря (насколько мне известно, по крайней мере), когда для входа в систему используется учетная запись Open ID, аутентификация выполняется исключительно внешним веб-сайтом (например, если бы я использовал Facebook для входа в систему, аутентификация будет обрабатываться исключительно Facebook, а не Ask Ubuntu). Другой сайт передает только уникальный идентификатор, который сообщает Ubuntu Forum / Ask Ubuntu / кем бы вы ни были, и не передает никаких ваших данных для входа.

Таким образом, пароли, хранимые (+ хешированные и соленые) на форуме Ubuntu, предназначены только для локальных учетных записей (как указано в разделе «Что мы знаем» на текущей странице обслуживания)

Конечно, если вы все еще беспокоитесь об этом, это не помешает изменить ваши пароли - и для спокойствия, вероятно, было бы хорошей идеей сделать это в любом случае - но, насколько я знаю, если служба, которую вы использовали для проверки подлинности вашего открытого идентификатора (Google, Facebook и т. д.) не должно быть особых поводов для беспокойства.

Смотрите эту страницу на сайте OpenID для получения дополнительной информации.

Jez W
источник
1

Если вы действительно использовали OpenID: нет .

Процесс входа в систему выполняется между вашим поставщиком OpenID и вами. Сервисы, позволяющие использовать OpenID, даже не видят ваш пароль! Нет никакой возможности, как ubuntuforums могли сохранить ваш пароль.

Ресурсы OpenID

Следующие ресурсы могут помочь вам понять, как работает OpenID.

Мартин Тома
источник