هل هناك أي مخاطر أمنية مرتبطة باستخدام OpenID كطريقة للمصادقة على موقعي؟

Question

يكون معرف مفتوح طريقة آمنة لمصادقة المستخدمين على موقع على شبكة الانترنت؟

وإذا لم يكن الأمر كذلك، ما هي المخاطر الأمنية المرتبطة بـ OpenID؟

Answer 1

في الواقع، كنت دائمًا لا أحب OpenID لأسباب مختلفة.

• يجب أن أثق بمزود OpenID الذي قدمت له بياناتي.أنا أثق في جوانب معينة بدرجات معينة، ولكن لمجرد أنني قد أثق في Stack Overflow، فأنا لا أثق تلقائيًا في أي من موفري OpenID المعروفين.

  2. إذا تم اختراق كلمة مرور OpenID الخاصة بي، فستتعرض جميع مواقعي التي أستخدم فيها OpenID للاختراق.عادةً ما أختار كلمة مرور مختلفة لكل موقع أستخدمه، لكن لا يمكنني ذلك مع OpenID.

  3. أنا لا أحب مفهوم الشخصية على الإطلاق.على الرغم من سؤالي قبل إرسال أي بيانات، فإنه لا يبدو من الصواب أن يكون لدى مقدم خدمة واحد هذه المعلومات ويمكن للخدمات الأخرى أن تطلبها.حسنًا، لست مضطرًا لاستخدامه إذا لم يعجبني، لكن المفهوم يبدو معيبًا بالنسبة لي.

  4. كما ذكرنا سابقًا، يتم إرسال البيانات بين الموقع وموفر OpenID ثم العودة مرة أخرى.عندما يتم تبادل البيانات، فمن الممكن أن يتم اختراقها.لا يوجد نظام آمن بنسبة 100%؛ولا حتى SSL (HTTPS).هناك فرق إذا كانت البيانات تنتقل مني فقط إلى جانب وتعود إلى نفسي أو إذا كانت تنتقل أيضًا من هذا الجانب إلى جانب آخر وتعود مرة أخرى.

  5. إذا تم اختراق مزود OpenID وحصل المتسلل على بيانات تسجيل الدخول لجميع المستخدمين (بعد كل شيء، فهي مركزية بشكل رائع في مكان واحد!)، فما عليك سوى التفكير في التأثير!

على سبيل المثال لا الحصر.لقد فشلت أيضًا في رؤية الميزة الكبيرة لـ OpenID.بالنسبة للمستخدم يقولون

1. أسرع وأسهل التسجيل وتسجيل الدخول
   • تقليل الإحباط الناتج عن نسيان اسم المستخدم/كلمة المرور
   • الحفاظ على البيانات الشخصية الحالية في المواقع المفضلة
   • تقليل المخاطر الأمنية لكلمة المرور

حسنًا، دعنا نحلل ذلك.

(1) كم مرة تقوم بالتسجيل لصفحة في اليوم؟200 مرة؟إذا قمت بالتسجيل لصفحتين في الأسبوع، فهذا بالفعل عدد كبير جدًا.عادةً ما يكون ذلك لمدة 2-3 أشهر على الأكثر (في الواقع، كانت Stack Overflow، أو مزود OpenID الخاص بي لاستخدام Stack Overflow، هي الصفحة الأخيرة التي قمت بالتسجيل فيها ولم يكن هذا بالأمس تمامًا).إذن، عندما تقوم بالتسجيل في موقعين شهريًا، ليس لديك الدقائق الخمس اللازمة لملء النموذج؟هيا، لا تكون سخيفة.

(2) كيف؟لأنه يستخدم نفس كلمة المرور في كل مكان؟"هذا ليس مستقبلا، هذا خطأ"، يقول معظم خبراء الأمن.أو لأنه يسمح لي باستعادة كلمة المرور الخاصة بي عبر البريد؟حسنًا، في الواقع أي جانب أستخدمه تقريبًا يسمح لي بذلك.على الرغم من ذلك، يتذكر Firefox كلمات المرور الخاصة بي جيدًا، ويخزنها مشفرة على القرص (باستخدام كلمة مرور رئيسية) ويتم عمل نسخة احتياطية لقاعدة البيانات المشفرة هذه بانتظام حتى لا تضيع أبدًا.

(3) حسنًا، ربما يكون هذا أمرًا إيجابيًا...ومع ذلك، فإن اسمي لم يتغير أبدًا حتى الآن، ولن يتغير عنوان بريدي الإلكتروني أيضًا لأنه أحد النطاقات التي أستخدمها وأعيد توجيهها إلى عنوان حقيقي (حتى يمكن تغيير العنوان الحقيقي، أقوم فقط بتحديث إعادة التوجيه وكل شيء يعمل كما هو قبل).عنوان شارعي؟حسنًا، بعض الناس يتحركون كثيرًا.لقد انتقلت مرة واحدة فقط في حياتي كلها حتى الآن.ومع ذلك، فإن معظم الأطراف لا تحتاج إلى معرفة عنوان الشارع الخاص بي.المواقع التي لا أرى فيها سببًا لجعل الناس يعرفون هذه المعلومات، لكن التي تطلب مني ملئها للتسجيل، فقط احصل على واحدة مزيفة.هناك عدد قليل جدًا من المواقع على الإنترنت التي تعرف عنواني الحقيقي (في الواقع فقط تلك المواقع التي قد تضطر إلى إرسال بريد عادي إليّ أو حيث يمكنني طلب البضائع).

(٤) في الواقع أرى العكس.إنه يزيد من المخاطر الأمنية.كيف يمكن تقليل المخاطر؟

Answer 2

أتفق مع العديد من النقاط التي ذكرها ديفيد أعلاه، لذا فإنني أطرح بعض النقاط هنا من أجل الجدال فقط.

بالنسبة للمستخدم المطلع، أود أن أزعم أن OpenID هو ملف أكثر شكل آمن من المصادقة مما توفره العديد من مواقع الويب.الآن اسمحوا لي أن أؤيد هذا البيان.أولا ماذا أقصد ب مستخدم مطلع؟أود أن أعرّف هذا الشخص بأنه شخص يدرك نقاط الضعف في OpenID ويتخذ التدابير للتخفيف منها:

• يحتفظ بشخصيات متعددة إذا كانوا لا يرغبون في أن تتمكن مواقع الويب من تتبعهم بشكل فعال.
• تسجيل اثنين أو أكثر من موفري OpenID في مواقع الويب التي يمثل الوصول إليها على مدار الساعة طوال أيام الأسبوع مشكلة.
• يقوم دائمًا بتسجيل الدخول إلى مزود OpenID الخاص بهم مباشرةً.لا يقومون مطلقًا بتسجيل الدخول إلى صفحة قام موقع ويب تابع لجهة خارجية بإعادة توجيههم إليها.

العديد من المواقع لا أعرف كيفية الحفاظ على كلمات مرور المستخدم بشكل آمن.الشيء الجميل حقًا في OpenID هو ذلك أنا الحصول على اختيار موفر OpenID الخاص بي وبالتالي مستوى المصادقة المطلوب لتسجيل الدخول إلى الطرف المعتمد.على سبيل المثال، يمكنني اختيار تفويض المصادقة إلى فيريساين أو الوصي - وكلاهما يوفر تقنيات مصادقة أقوى بكثير من معظم مواقع الويب على الويب.أفضل أن أثق بمؤسسة متخصصة في الأمان باستخدام كلمة المرور الخاصة بي بدلاً من الوثوق في بعض مواقع الويب العشوائية على الويب.لذلك أود أن أزعم أنه بالنسبة للمستخدم ذو المعرفة، OpenID يستطيع أن تكون أكثر أمانًا من كل موقع ويب يطبق نظام المصادقة الخاص به.

ومع ذلك، فإن معظم المستخدمين لا يدركون عوامل الخطر الكامنة في OpenID ولن يتخذوا الخطوات اللازمة للتخفيف من المخاطر.

Answer 3

وهوية OpenID غير آمنة بطبيعتها. وهو يعمل عن طريق موقع الويب الخاص بك إعادة توجيه المستخدم إلى فتح الموقع مزود هوياتهم ومن ثم قبول ID مرة أخرى من هذا الموقع. وهذا يوفر انعدام الأمن في كلا الاتجاهين. عليك أن تثق ID أن يعود (كما كان لديك أي وسيلة لمصادقة المستخدم نفسك)، وأنه من السهل أن تعمل وكيل لمزود ID مفتوحة للمستخدم، والتي تسمح لك لسرقة اسم المستخدم وكلمة المرور الخاصة بهم.

ورض على ما يرام لشيء من هذا القبيل تجاوز المكدس، حيث لا يهم حقا إذا كان شخص بانتحال شخصية لك. مستخدما OpenID للمواقع مع أكثر خطورة - على المستوى الشخصي - المحتوى هو في غاية الخطورة. إذا كنت تستخدم هوية OpenID للبريد الإلكتروني الخاص بك على سبيل المثال، ثم أي شخص سرقة الهوية الخاصة بك يمكن الوصول إلى البريد الإلكتروني الخاص بك. ويمكن بعد ذلك بدورها ترسل كلمة السر الطلبات تذكير إلى المواقع الأخرى التي تستخدم من أجل الحصول على كلمات المرور لهذه المواقع. في أسوأ الحالات، يمكنك استخدام هوية OpenID لحساب مصرفي، أو أحد البنوك التي ترسل رسائل تذكير كلمة المرور لحساب البريد الإلكتروني الخاص بك ...

وهناك العديد من المشاكل الأمنية الأخرى مع رض. يمكنك العثور على مزيد من المعلومات في "الخصوصية على الإنترنت" .

Answer 4

ورض لا تضيف طرف آخر في عملية المصادقة التي يجب أن يعامل بوصفه عنصرا موثوق به. انها تشبه الى حد بعيد في هذا الصدد إلى أي تطبيق يتيح استرداد الحساب عن طريق البريد الإلكتروني، ولكن حين تنتقل رسائل البريد الإلكتروني في نص واضح، يمكنك اختيار التواصل مع مقدمي هوية OpenID فقط عبر اتصالات HTTPS تم التحقق منها.

ومراجعة القسم اعتبارات الأمن من مواصفات.

لوصف كبير من نقاط الضعف في هوية OpenID ومظاهرة لكيفية مزود رض جيدة يمكن أن تعطي تجربة أكثر أمانا بكثير من كلمة المرور التقليدية تصيدها احتياليا بسهولة، يرى <وأ href = "HTTP: // شبكة الاتصالات العالمية. identityblog.com/wp-content/images/2008/02/OpenID/Normal/OpenIDPhish.html "يختلط =" نوفولو noreferrer "> هذا الفيديو القصير عن طريق كيم كاميرون من له <لأ href =" HTTP: // www.identityblog.com/ "يختلط =" نوفولو noreferrer "> الهوية مدونة .

Answer 5

ورض يمكن أن تكون أكثر أمنا إذا اخترت تجاهل جميع مقدمي هوية OpenID التي لا تدعم HTTPS

Answer 6

وأعتقد أن نقطة الضعف الرئيسية في معظم مقدمي OpenID هو أنها توفر استرداد كلمة المرور عبر البريد الإلكتروني. أن يقلل الأمن معرف OpenId لأمن بلدي مزود البريد الإلكتروني. إذا شخص ما يحصل الوصول إلى حساب البريد الإلكتروني الخاص بي وقال انه يمكن سرقة فعال هويتي (مع أو بدون معرف OpenId).

ومستخدما OpenID للمصادقة يجعل سرقة الهوية ي فقط أسهل. مجرد الحصول على حساب البريد الإلكتروني الخاص بي وإعادة تعيين كلمة السر معرف OpenId. شيء أكثر من أن تفعل (بدلا من 100 طلب إعادة تعيين كلمة المرور، واحد لكل من حساباتي على شبكة الإنترنت).

وحتى أسوأ من ذلك، إذا كان المهاجم بتغيير كلمة المرور الخاصة بي حساب البريد الإلكتروني وسيكون من الصعب جدا بالنسبة لي لإثبات أني أنا المالك الأصلي من هذا الحساب معرف OpenId. المهاجم قد تغيير حساب البريد الإلكتروني المرتبطة به واحد لذلك لا أستطيع إعادة تعيين كلمة المرور حتى لو أعود في وقت لاحق حسابي البريد الإلكتروني.

قد يكون كافيا للحصول على الق على البريد الإلكتروني استعادة كلمة السر يرسل لي مزود معرف OpenId لسرقة هويتي.

ومقدمي معرف OpenId musst تقدم تعطيل استعادة كلمة السر البريد الإلكتروني، وتوفير وسيلة أكثر أمنا لاستعادة كلمة السر المفقودة. شيء استنادا إلى عنوان بريدي، جواز سفر أو حساب مصرفي (أشياء وأنا على ثقة أكثر من حساب البريد الإلكتروني).

وطالما يمكن اتخاذها حساب معرف OpenId برئاسة مجرد الحصول على الوصول إلى واحد البريد الالكتروني انها ليست أكثر من نقطة واحدة إضافية من الفشل.

وانظر أيضا: <لأ href = "http://danielmiessler.com/blog/from-password-reset-mechanisms-to-openid-a-brief-discussion-of-online-password-security" يختلط = " نوفولو "> http://danielmiessler.com/blog/from-password-reset-mechanisms-to-openid-a-brief-discussion-of-online-password-security حيث" الحلقة الاضعف: البريد الإلكتروني كلمة المرور إعادة تعيين الآليات "وadressed أيضا.

Answer 7

ولئن كان هذا هو الخيط القديم كنت أريد أن أضيف بلدي 2 سنتا. أعتقد معرف OpenId ديه عيب واحد أن يبدو أن لا أحد يهتم. عندما المصادقة مع ياهو، تسجيل لي فعلا في ياهو. لا ينبغي أن تسجيل دخولك إلى ياهو ينبغي فقط مصادقة من أن لديك أوراق اعتماد المناسبة مع ياهو. عند تسجيل الخروج من التطبيق الخاص بي، كنت لا تزال بتسجيل الدخول إلى ياهو. إذا كنت تمشي بعيدا عن الكمبيوتر المشتركة وشخص آخر يذهب إلى ياهو، سوف تكون مسجلا .. لأن عند مصادقة مع ياهو، فإنها أيضا تسجيل دخولك إلى خدمتهم. وينبغي فقط مصادقة لك، وليس تسجيل الدخول. لقد قال العديد من الناس عن ذلك، وحتى أثبت ذلك مع stackoverflow.com (الذي لديه آلية تسجيل الخروج الرهيبة، عندما ضرب تسجيل الخروج أتوقع أن تسجيل الخروج، لا يرجى الضغط زر خروج آخر). حاول هذا الخروج من ياهو أو جوجل. إغلاق كافة علامات التبويب، ومن ثم تسجيل الدخول إلى ستاكوفيرفلوو مع ياهو / جوجل. ثم تسجيل الخروج من كومة تجاوز .. (تأكد من ضرب الخروج مرتين) .. الآن تصفح لياهو أو جوجل، يتم تسجيل الدخول. الآن الجواب سنيد يمكنني الحصول على "لا تستخدم جهاز عام مشترك، يجب عليك تسجيل الخروج ياهو / جوجل، الخ "... الجميع ليس المطور على شهادة البكالوريوس في نظم المعلومات الإدارية وعلوم الحاسوب، والدتي في القانون يظن عندما تسجيل الخروج من ستاكوفيرفلوو، وأنها لن تكون مسجلا في ياهو لا يزال .. ربما أنا أنا في عداد المفقودين بعض PARM أو شيء من شأنها أن تجبر فعلا ما أريد، ولكنها بالتأكيد ليست في وثائق أقول لك كيف كبيرة OpenID هو !!!

Answer 8

وأوتش. MyOpenID تقارير عناوين البريد الإلكتروني غير مؤكدة، فقط لم اختبار لذلك. يبدو من المعلومات البريد الإلكتروني يجب موثوقة فقط لبعض مقدمي المدرجة الأبيض يدويا مثل جوجل / ياهو واثنين آخرين. سوف تصل الشفرة هنا إذا شخص ما مهتم.

Answer 9

وأنا أحب الوصول VIP فيريساين في المواقع التي يمكن أن تجعل استخدام، وهناك صغيرة لطيفة تطبيق اي فون من شأنها أن تتيح لديك الخاصة بك ولدت رمزي للحصول على، مثل الكثير من secureID