Sim, 2.0 é muito seguro. Vá ler en.wikipedia.org/wiki/OpenID "O OpenID não fornece sua própria forma de autenticação, mas se um provedor de identidade usa autenticação forte, o OpenID pode ser usado para transações seguras, como bancos e comércio eletrônico."
Evan Carroll
1
Sim, acho que a verdadeira questão é ... O seu provedor OpenID é seguro?
Andor
Respostas:
8
O OpenID é tão seguro quanto o provedor OpenID (ou seja, "Se alguém invadir sua conta do Myspace, ele terá acesso ao seu OpenID e tudo o que o usar").
Pessoalmente, eu não confiaria em nada valioso. A maioria dos provedores de OpenID tem um péssimo histórico de segurança.
Eu acho que você está ignorando as vantagens do OpenID e descartando-as como mera conveniência.
Evan Carroll
3
@Evan: O OpenID tem muitas vantagens - na verdade, eu uso o OpenID nos sites de trilogia do SO. Nenhuma das vantagens negar as minhas preocupações de segurança no entanto, e eu certamente não iria confiar a segurança do meu provedor de OpenID com as minhas informações de conta bancária :-)
voretaq7
2
Claro que sim, que tal reduzir sua declaração OpenID is as secure as the OpenID providerpara X is as secure as the X provider: nesse caso, você não está declarando nada. Embora sua afirmação seja verdadeira, é insana: acho que qualquer pessoa com conhecimento suficiente para configurar e manter o OpenID provavelmente é pelo menos tão qualificada quanto um banco pelo mérito de que um está vendendo uma solução técnica, enquanto o outro está vendendo um financeiro . Sim, eu confio no Google / Yahoo / Verisign muito mais do que em Washington Mutual
Evan Carroll
3
@Evan - Qualquer serviço é, por definição, apenas tão seguro quanto o provedor. Minha opinião é que o OpenID, embora seja um protocolo valioso, não oferece garantias estruturais suficientes quanto à segurança de seus provedores para que eu confie nele para autenticação crítica. Você é livre para discordar da minha avaliação, mas estou por trás do que disse.
precisa saber é o seguinte
3
@Evan, você parece bastante apaixonado por esse assunto, a ponto de ficar obcecado. Talvez você precise dar um passo atrás e dar outra olhada. O fato de você confiar no OpenID não o torna seguro. Não somos os primeiros a desconfiar e certamente não será o último. Quanto ao fator de conveniência, esse não é o tema da pergunta.
John Gardeniers
5
Embora eu concorde com o voretaq7 que o OpenID é tão seguro quanto o provedor OpenID, devo dizer que, ao selecionar um provedor OpenID para usar, é preciso ter cuidado para garantir que você esteja usando um provedor respeitável. Essa mesma idéia se aplica a tudo que tem a ver com segurança. Google, AOL e eu acho que até a Verisign agora oferece OpenIDs e essas empresas / fornecedores têm um bom histórico.
Uma das principais vantagens do OpenID sobre a segurança doméstica ou outro pacote de terceiros é que ele coloca o aspecto de autenticação da segurança nas mãos de empresas com mais experiência e mais recursos para lidar com isso do que a maioria das entidades menores. Eles tendem a ter uma melhor capacidade de proteger seus servidores e dados. Como funcionário de uma pequena loja, certamente confiaria mais no Google do que em mim para configurar corretamente os servidores, firewalls etc. necessários para proteger esses dados.
No entanto, o OpenID é igualmente vulnerável ao aspecto mais perigoso de todos - os usuários que escolhem credenciais fracas.
O Google, a Verisign etc. provavelmente estão fornecendo OpenIDs "razoavelmente seguros", mas qualquer um pode ser um provedor OpenID, e todo o conceito de OpenID (como eu o entendo) é aceitar um OpenID válido de qualquer provedor para que as pessoas não tenham para configurar várias contas diferentes. Alguém selecionando um provedor de OpenID insegura (ou um com recuperação de senha insegura) poderia ser quase tão perigoso quanto os usuários que utilizam abc123como suas senhas ...
voretaq7
2
Parece que a única pessoa perigosa ao redor é o usuário. Eles são os que selecionam qual é a senha, se usam o OpenID e quem deve ser. Deveria ser nossa responsabilidade protegê-los de si mesmos?
Chris
2
Se você estiver executando um serviço que aceita OpenIDs para autenticação, pode facilmente colocar na lista negra de provedores não confiáveis ou na lista branca de bons fornecedores conhecidos. Dessa forma, você pode evitar provedores que permitam ao usuário definir uma senha insegura.
precisa
1
@ Chris: Desde que tenhamos que enfrentar a tempestade de culpas quando uma conta for comprometida, sim - pelo menos parcialmente. É por isso que alguns sites têm políticas de senha como "> = 8 caracteres alfanuméricos + pelo menos 1 caractere especial".
precisa saber é o seguinte
@ voretaq7: qualquer um pode ser um banco também.
Evan Carroll
5
OpenID é uma maneira de delegar autenticação a terceiros. Para um aplicativo de alta confiança, como bancário, para quem você delega a autenticação é uma decisão importante e importante de segurança. O protocolo openID, tal como está, é suficiente para qualquer padrão que permita a autenticação de fator único (o token de autenticação openID) ou a autenticação delegada para um sistema que possui proteções de autenticação suficientes.
A próxima pergunta: existem fornecedores atuais de openID seguros o suficiente para serviços bancários online?
Essa é uma pergunta diferente e provavelmente é negativa agora. No entanto, não há nada (técnico) em parar, digamos, um consórcio de bancos americanos que reúne recursos para criar um único provedor de openID bancário que segue um padrão declarado e é auditado. Esse provedor de openID pode usar qualquer método de autenticação necessário, seja SiteKey, SecureID, furto de cartão inteligente ou qualquer outra coisa que seja exigida. Considero essa possibilidade improvável para os principais bancos comerciais, mas a comunidade da União de Crédito pode apenas tentar.
Eu consideraria o VeriSign PIP e provavelmente o MyOpenID suficientemente seguros para serviços bancários.
user1686
2
OpenID é tão seguro quanto o mais fraco (1) do site no qual você está tentando fazer login; (2) seu provedor OpenID; ou (3) o sistema DNS.
Recomendação:
Use o sistema de segurança / login recomendado pelo seu banco e entenda os termos e condições de serviço para que você conheça seus direitos se sua conta estiver comprometida.
Não incentive seu banco a adotar o OpenID, pois isso reduzirá a segurança de seus serviços.
Fraquezas:
Uma conseqüência imediata desse fato é que o OpenID pode, na melhor das hipóteses, ser tão seguro quanto o site no qual você está tentando fazer login; nunca pode ser mais seguro.
No protocolo OpenID, o redirecionamento para o seu provedor está sob o controle do site no qual você está efetuando login, o que leva a phishing trivial e ataques intermediários. Esses ataques permitirão que um site hostil roube suas credenciais de OpenID sem que você saiba , que podem ser usadas posteriormente para fazer login em qualquer outro site habilitado para OpenID como você.
Os ataques de DNS são mais complicados, mas permitem que um invasor convença seu banco de que ele é seu provedor OpenID. O invasor efetua login usando seu OpenID e faz com que seu provedor falso dê autorização ao banco. Nesse caso, o invasor não precisa phishing ou aprender sua senha ou instalar nada no seu computador - tudo o que ele precisa é do seu OpenID.
Da mesma forma, um ataque ao seu provedor OpenID permitirá que o invasor efetue login como você em qualquer site habilitado para OpenID, sem saber sua senha.
OpenID é um protocolo. O protocolo é muito seguro, no entanto, o método de autenticação de back-end não precisa ser. Você pode executar um portal OpenId que validará um usuário de uma caixa dos através do telnet no Bangladesh.
É seguro o suficiente para serviços bancários? Sim. Na verdade, eu gostaria que todos os provedores bancários permitissem. Além disso, se você deseja confiar mais nos provedores bancários do que em outros provedores de tecnologia - não seria bom se eles o fornecessem ?
Só porque um banco é encarregado de seu dinheiro, isso os qualifica para lidar com identidades digitais?
Chris
1
@ Chris: Não, não. mas essa parece ser a tendência para esse segmento. Prefiro que os bancos mantenham o controle do dinheiro e usem o google para manipular minha autenticação. O ponto é que não importa em quem você confia, alguém que não seja o banco ou o banco: se todo banco fosse um provedor e consumidor aberto, você poderia usar a autenticação no google ou no banco - o OpenID é apenas o protocolo para permitir que eles se comuniquem.
Respostas:
O OpenID é tão seguro quanto o provedor OpenID (ou seja, "Se alguém invadir sua conta do Myspace, ele terá acesso ao seu OpenID e tudo o que o usar").
Pessoalmente, eu não confiaria em nada valioso. A maioria dos provedores de OpenID tem um péssimo histórico de segurança.
fonte
OpenID is as secure as the OpenID provider
paraX is as secure as the X provider
: nesse caso, você não está declarando nada. Embora sua afirmação seja verdadeira, é insana: acho que qualquer pessoa com conhecimento suficiente para configurar e manter o OpenID provavelmente é pelo menos tão qualificada quanto um banco pelo mérito de que um está vendendo uma solução técnica, enquanto o outro está vendendo um financeiro . Sim, eu confio no Google / Yahoo / Verisign muito mais do que em Washington MutualEmbora eu concorde com o voretaq7 que o OpenID é tão seguro quanto o provedor OpenID, devo dizer que, ao selecionar um provedor OpenID para usar, é preciso ter cuidado para garantir que você esteja usando um provedor respeitável. Essa mesma idéia se aplica a tudo que tem a ver com segurança. Google, AOL e eu acho que até a Verisign agora oferece OpenIDs e essas empresas / fornecedores têm um bom histórico.
Uma das principais vantagens do OpenID sobre a segurança doméstica ou outro pacote de terceiros é que ele coloca o aspecto de autenticação da segurança nas mãos de empresas com mais experiência e mais recursos para lidar com isso do que a maioria das entidades menores. Eles tendem a ter uma melhor capacidade de proteger seus servidores e dados. Como funcionário de uma pequena loja, certamente confiaria mais no Google do que em mim para configurar corretamente os servidores, firewalls etc. necessários para proteger esses dados.
No entanto, o OpenID é igualmente vulnerável ao aspecto mais perigoso de todos - os usuários que escolhem credenciais fracas.
fonte
abc123
como suas senhas ...OpenID é uma maneira de delegar autenticação a terceiros. Para um aplicativo de alta confiança, como bancário, para quem você delega a autenticação é uma decisão importante e importante de segurança. O protocolo openID, tal como está, é suficiente para qualquer padrão que permita a autenticação de fator único (o token de autenticação openID) ou a autenticação delegada para um sistema que possui proteções de autenticação suficientes.
A próxima pergunta: existem fornecedores atuais de openID seguros o suficiente para serviços bancários online?
Essa é uma pergunta diferente e provavelmente é negativa agora. No entanto, não há nada (técnico) em parar, digamos, um consórcio de bancos americanos que reúne recursos para criar um único provedor de openID bancário que segue um padrão declarado e é auditado. Esse provedor de openID pode usar qualquer método de autenticação necessário, seja SiteKey, SecureID, furto de cartão inteligente ou qualquer outra coisa que seja exigida. Considero essa possibilidade improvável para os principais bancos comerciais, mas a comunidade da União de Crédito pode apenas tentar.
fonte
OpenID é tão seguro quanto o mais fraco (1) do site no qual você está tentando fazer login; (2) seu provedor OpenID; ou (3) o sistema DNS.
Recomendação:
Fraquezas:
Uma conseqüência imediata desse fato é que o OpenID pode, na melhor das hipóteses, ser tão seguro quanto o site no qual você está tentando fazer login; nunca pode ser mais seguro.
No protocolo OpenID, o redirecionamento para o seu provedor está sob o controle do site no qual você está efetuando login, o que leva a phishing trivial e ataques intermediários. Esses ataques permitirão que um site hostil roube suas credenciais de OpenID sem que você saiba , que podem ser usadas posteriormente para fazer login em qualquer outro site habilitado para OpenID como você.
Os ataques de DNS são mais complicados, mas permitem que um invasor convença seu banco de que ele é seu provedor OpenID. O invasor efetua login usando seu OpenID e faz com que seu provedor falso dê autorização ao banco. Nesse caso, o invasor não precisa phishing ou aprender sua senha ou instalar nada no seu computador - tudo o que ele precisa é do seu OpenID.
Da mesma forma, um ataque ao seu provedor OpenID permitirá que o invasor efetue login como você em qualquer site habilitado para OpenID, sem saber sua senha.
Mais informações sobre os pontos fracos e ataques do OpenID em http://www.untrusted.ca/cache/openid.html .
fonte
OpenID é um protocolo. O protocolo é muito seguro, no entanto, o método de autenticação de back-end não precisa ser. Você pode executar um portal OpenId que validará um usuário de uma caixa dos através do telnet no Bangladesh.
É seguro o suficiente para serviços bancários? Sim. Na verdade, eu gostaria que todos os provedores bancários permitissem. Além disso, se você deseja confiar mais nos provedores bancários do que em outros provedores de tecnologia - não seria bom se eles o fornecessem ?
fonte