Gibt es Sicherheitsrisiken im Zusammenhang mit mir OpenID als Authentifizierungsmethode auf meiner Seite?

Question

OpenID eine sichere Methode der Authentifizierung Benutzer auf einer Website?

Und wenn nicht, was sind die Sicherheitsrisiken im Zusammenhang mit OpenID?

Answer 1

Eigentlich mochte ich OpenID immer aus verschiedenen Gründen.

• Ich habe den OpenID-Provider vertrauen, die ich meine Daten gab. Ich vertraue bestimmte Seiten zu bestimmten Grad, aber nur, weil ich Stack-Überlauf vertrauen kann, ich traue automatisch jede der bekannten OpenID-Provider.

  2. Wenn mein OpenID Passwort gefährdet ist, alle meine Seiten, wo ich OpenID bin mit kompromittiert. Normalerweise würde ich wählte ein anderes Passwort für jeden Standort Ich verwende, aber ich kann nicht mit OpenID.

  3. Ich mag das Persona-Konzept überhaupt nicht. Auch wenn ich gefragt werde, bevor Daten gesendet wird, es scheint einfach nicht richtig, dass ein Anbieter diese Informationen hat und andere Dienstleistungen können sie anfordern. Okay, ich muss es nicht verwenden, wenn ich nicht mag, aber das Konzept scheint mir fehlerhaft.

  4. Wie bereits erwähnt wurde, werden die Daten zwischen einem Standort und der OpenID-Provider und wieder zurück geschickt. Jedes Mal, wenn Daten ausgetauscht werden, es kann beeinträchtigt werden. Kein System ist 100% sicher; nicht einmal SSL (HTTPS). Es ist ein Unterschied, ob Daten nur von mir reist zu einer Seite und zu mir selbst zurück oder wenn er reist auch von dieser Seite auf einen anderen und wieder zurück.

  5. Wenn ein OpenID-Provider gehackt wird und der Hacker erhält die Login-Daten aller Nutzer (schließlich sind sie an einem Ort zentralisiert schön!), Man denke nur an die Auswirkungen!

Um nur einige zu nennen. Ich kann nicht auch den großen Vorteil, OpenID zu sehen. Für den Anwender sagen, dass sie

1. schneller & einfache Registrierung und Anmeldung
   • Reduzierte Frustration von vergessenen Benutzernamen / Passwort
   • an bevorzugten Stellen pflegen persönliche Daten Strom
   • Minimieren Passwort Sicherheitsrisiken

Okay, lassen wir das analysieren.

(1) Wie oft Sie eine Seite pro Tag registrieren? 200 mal? Wenn ich für 2 Seiten pro Woche registrieren, ist das schon ein verdammt viel. In der Regel eher für 2-3 Monate eines höchstens (eigentlich Stack-Überlauf, oder mein OpenID-Provider Stack-Überlauf zu verwenden, war die letzte Seite, die ich registrierte und das war nicht ganz gestern). Also, wenn Sie für 2 Seiten pro Monat registrieren, Sie haben nicht die 5 Minuten dauert es, ein Formular ausfüllen? Komm, nicht lächerlich.

(2) Wie? Weil es verwendet das gleiche Passwort überall? „Das ist keine Zukunft, das ist ein Fehler“, würden die meisten Sicherheitsexperten sagen. Oder weil es erlaubt mir mein Passwort per E-Mail zu erholen? Na ja, eigentlich fast jede Seite ich mir erlaubt, dies zu tun. Trotzdem, erinnert sich mein Firefox meine Passwörter ganz gut, speichert sie auf der Festplatte verschlüsselt (ein Master-Passwort verwenden) und diese verschlüsselte Datenbank zurück-uped regelmäßig nie verloren gehen.

(3) Nun, das ist wahrscheinlich etwas Positives ... aber hat meinen Namen nie so weit verändert, meine E-Mail-Adresse wird nicht entweder wie es ist eines der Domain Ich benutze und in eine reale Adresse weitergeleitet ( so kann der wirkliche, wechsle ich aktualisieren nur die nach vorne und alles funktioniert wie bisher). Meine Adresse? Nun, einige Leute bewegen viel. Ich zog nur einmal in meinem Leben so weit. Allerdings sind die meisten Seiten brauchen nicht meine Adresse kennen. Seiten, wo ich sehe keinen Grund, die Menschen dafür, dass wissen, diese Informationen, aber das fordert mich, es zu füllen für die Registrierung, nur um einen gefälschten ein. Es gibt nur sehr wenig Websites im gesamten Internet, die meine reale Adresse kennen (eigentlich nur diejenigen, die jemals haben kann mich oder einen Post zu schicken, wo ich könnte Waren bestellen).

(4) Eigentlich sehe ich es andersherum. Es maximiert das Sicherheitsrisiko. Wie wäre es, das Risiko minimieren?

Answer 2

Ich stimme mit vielen Punkten, David oben macht, so mache ich ein paar Punkte hier nur zum Zwecke der Beweisführung.

Für den sachkundigen Anwender, würde ich argumentieren, dass OpenID ist eine mehr sichere Form der Authentifizierung als viele Websites bieten. Nun lassen Sie mich zurück diese Aussage auf. Erste, was ich meine von ein sachkundiger Benutzer ? Ich würde diese Person als jemand definieren, wer kennt die Schwächen der OpenID ist und die Maßnahmen ergreift, um sie zu mildern:

• Behält multiple Persönlichkeiten, wenn sie nicht Wunsch Websites tun, um sie effektiv zu verfolgen.
• Register zwei oder mehr OpenID-Provider auf Websites, auf denen 24/7 Zugang ist ein Thema.
• Anmeldungen immer auf ihre OpenID-Provider direkt. Sie melden Sie nie auf eine Seite eine 3rd-Party-Website sie weitergeleitet hat.

Viele Websites nicht wissen, wie sicher Passwörter des Benutzers zu halten. Die wirklich nette Sache mit OpenID ist, dass I erhalten meine OpenID-Provider zu wählen und damit die Höhe der Authentifizierung für eine vertrauende einzuloggen benötigt. Zum Beispiel kann ich wählen Authentifizierung Verisign oder

OpenID ist von Natur aus unsicher. Es funktioniert, indem Sie Ihre Website die Benutzer auf ihre offenen ID-Provider-Website umgeleitet und dann eine ID zurück von dieser Seite zu akzeptieren. Dies bietet Unsicherheiten in beiden Richtungen. Sie haben die ID vertrauen, die zurückkommt (wie Sie keine Möglichkeit haben, den Benutzer selbst authentifizieren), und es ist leicht, einen Proxy des Benutzers offen ID-Provider zu betreiben, das Ihnen erlaubt, ihren Benutzernamen und das Passwort zu stehlen.

OpenID ist für so etwas wie Stack-Überlauf in Ordnung, wo es nicht wirklich wichtig, wenn jemand Sie verkörpert. Mit OpenID für Standorte mit ernsteren - auf persönlicher Ebene - Inhalt ist extrem riskant. Wenn Sie OpenID für Ihre E-Mail beispielsweise verwenden, dann jemand Ihre ID gestohlen kann Ihre E-Mails zugreifen. Sie könnten dann wiederum Passwort Erinnerung Anfragen an andere Websites senden, die Sie verwenden, um Passwörter für diese Websites zu erhalten. Im schlimmsten Fall könnten Sie OpenID für ein Bankkonto verwenden, oder eine Bank haben, das Passwort Erinnerungen an Ihrem E-Mail-Konto sendet ...

Es gibt zahlreiche andere Sicherheitsprobleme mit OpenID. Sie finden weitere Informationen in "Privatsphäre im Internet" .

OpenID hat eine andere Partei an den Authentifizierungsprozess hinzufügen, die Sie als vertrauenswürdige Komponente behandeln müssen. Es ist ziemlich ähnlich in dieser Hinsicht jede Anwendung, die Kontowiederherstellung von E-Mail erlaubt, aber während Sie Ihre E-Mail-Nachrichten unverschlüsselt übertragen werden, können Sie wählen, mit OpenID-Provider nur über verifizierten HTTPS-Verbindungen zu kommunizieren.

Überprüfen Sie die Security Considerations Abschnitt der Spezifikation.

Für eine große Beschreibung der Schwachstellen in OpenID und einer Demonstration, wie ein guter OpenID-Provider kann eine Erfahrung geben, die viel sicherer ist als das traditionelle leicht fischte Passwort finden Sie unter dieses kurze Video von Kim Cameron von seinem Identity Weblog .

OpenID kann gemacht werden sicherer, wenn Sie wählen, ob alle OpenID-Provider zu ignorieren, die nicht unterstützen HTTPS

Ich denke, die größte Schwäche der meisten OpenId Anbieter ist, dass sie Passwort-Wiederherstellung per E-Mail bieten. Das reduziert OpenId Sicherheit für die Sicherheit meiner E-Mail-Anbieter. Wenn jemand Zugriff auf mein E-Mail-Konto bekommt kann er effektiv meine Identität stehlen (mit oder ohne OpenId).

Mit OpenID zur Authentifizierung macht ym Identität zu stehlen gerade einfacher. Nehmen Sie einfach den Zugriff auf mein E-Mail-Konto und mein OpenId Passwort zurücksetzen. Nichts mehr zu tun (statt 100 Passwort-Reset-Anfragen, ein für jedes meiner Konten auf dem Netz).

Noch schlimmer ist, wenn der Angreifer meine E-Mail-Passwort des Kontos ändert, wird es sehr schwer für mich zu beweisen, dass ich der ursprüngliche Besitzer des OpenID-Konto bin. Der Angreifer könnte das zugehörige E-Mail-Konto zu sein einem ändern, so kann ich das Passwort nicht zurückgesetzt, selbst wenn ich später mein E-Mail-Konto zurück.

Es könnte ausreichen, um Zugang zur Passwort-Wiederherstellung E-Mail meiner OpenID-Provider zu erhalten senden meine Identität zu stehlen.

OpenId Anbieter Müssen bieten E-Mail-Passwort-Wiederherstellung zu deaktivieren und bieten eine sichere Art und Weise ein verlorenes Passwort zu erholen. Etwas basierend auf Postanschrift, Reisepass oder Bankkonto (Dinge, die ich vertraue mehr als ein E-Mail-Konto).

Solange ein OpenID-Konto kann über nur um immer Zugriff auf einen einzigen genommen werden eine E-Mail, es ist nichts anderes als eine weitere Single Point of Failure.

Siehe auch: http://danielmiessler.com/blog/from-password-reset-mechanisms-to-openid-a-brief-discussion-of-online-password-security , wo" The Weakest Link: E-Mail Passwort Zurücksetzen Mechanismen“angesprochen wird, auch.

Während dieser Thread alt Ich wollte meine 2 Cent hinzuzufügen. Ich denke, OpenId einen Schönheitsfehler hat, dass niemand zu kümmern scheint. Wenn ich mit Yahoo authentifizieren, meldet es mir tatsächlich in yahoo. Es sollte Sie nicht in Yahoo einzuloggen es sollte nur authentifizieren, dass Sie die richtigen Anmeldeinformationen mit Yahoo haben. Wenn Sie aus meiner App anmelden, werden Sie noch in yahoo angemeldet. Wenn Sie weg von einem gemeinsam genutzten Computer gehen und eine andere Person geht zu Yahoo, werden Sie angemeldet .. denn wenn man mit Yahoo authentifiziert, sie melden Sie sich auch in ihren Dienst. Sie sollten Sie nur authentifizieren, nicht melden Sie sich in. Ich habe gesagt, mehrere Menschen über dieses und sogar demonstriert es mit stackoverflow.com (wer hat einen schrecklichen ausloggen Mechanismus, wenn ich mich anmelde losschlagen erwarte ich werden abgemeldet, nicht klicken Sie bitte eine andere Logout-Button). Versuchen Sie, diese Abmeldung von Yahoo oder Google Mail. Schließen Sie alle Tabs, und dann melden Sie sich bei Stackoverflow mit yahoo / gmail. Dann Stapelüberlauf ausloggen aus .. (stellen Sie sicher, Sie treffen Abmelde zweimal) .. jetzt auf Yahoo oder Google Mail finden, sind Sie angemeldet. Nun ist die abfällige Antwort, die ich erhalten, ist „nicht diesen Computer verwenden, können Sie sich abmelden sollten von Yahoo / gmail, etc“... Jeder Mensch ist kein Entwickler mit einem Abschluss in MIS oder Informatik, würde meine Schwiegermutter denken, wenn sie aus dem Stackoverflow angemeldet, dass sie .. Vielleicht in Yahoo noch nicht angemeldet sein, würde ich einige Parm oder bin etwas fehlt, die tatsächlich zwingen wird, was ich will, aber es ist sicherlich nicht in der Dokumentation, die Sie erzählen, wie groß ist OpenID !!!

Ouch. MyOpenID Berichte nicht bestätigten E-Mail-Adressen, habe gerade einen Test dafür. Sieht aus wie E-Mail info sollte nur für einige manuell weiß gelisteten Anbietern wie Google / Yahoo und einige andere trauen. Ich werde den Code hier verknüpfen, wenn jemand interessiert.

Ich mag Verisign VIP-Zugang, die Websites nutzen, und es gibt eine nette kleine iPhone-Anwendung machen, dass Sie lassen haben Ihr Token generiert zu bekommen, ähnlich wie SecureID

Answer 3

Answer 4

Answer 5

Answer 6

OpenID ist von Natur aus unsicher. Es funktioniert, indem Sie Ihre Website die Benutzer auf ihre offenen ID-Provider-Website umgeleitet und dann eine ID zurück von dieser Seite zu akzeptieren. Dies bietet Unsicherheiten in beiden Richtungen. Sie haben die ID vertrauen, die zurückkommt (wie Sie keine Möglichkeit haben, den Benutzer selbst authentifizieren), und es ist leicht, einen Proxy des Benutzers offen ID-Provider zu betreiben, das Ihnen erlaubt, ihren Benutzernamen und das Passwort zu stehlen.

OpenID ist für so etwas wie Stack-Überlauf in Ordnung, wo es nicht wirklich wichtig, wenn jemand Sie verkörpert. Mit OpenID für Standorte mit ernsteren - auf persönlicher Ebene - Inhalt ist extrem riskant. Wenn Sie OpenID für Ihre E-Mail beispielsweise verwenden, dann jemand Ihre ID gestohlen kann Ihre E-Mails zugreifen. Sie könnten dann wiederum Passwort Erinnerung Anfragen an andere Websites senden, die Sie verwenden, um Passwörter für diese Websites zu erhalten. Im schlimmsten Fall könnten Sie OpenID für ein Bankkonto verwenden, oder eine Bank haben, das Passwort Erinnerungen an Ihrem E-Mail-Konto sendet ...

Answer 7

Es gibt zahlreiche andere Sicherheitsprobleme mit OpenID. Sie finden weitere Informationen in

Answer 8

OpenID hat eine andere Partei an den Authentifizierungsprozess hinzufügen, die Sie als vertrauenswürdige Komponente behandeln müssen. Es ist ziemlich ähnlich in dieser Hinsicht jede Anwendung, die Kontowiederherstellung von E-Mail erlaubt, aber während Sie Ihre E-Mail-Nachrichten unverschlüsselt übertragen werden, können Sie wählen, mit OpenID-Provider nur über verifizierten HTTPS-Verbindungen zu kommunizieren.

Überprüfen Sie die Security Considerations Abschnitt der Spezifikation.

Für eine große Beschreibung der Schwachstellen in OpenID und einer Demonstration, wie ein guter OpenID-Provider kann eine Erfahrung geben, die viel sicherer ist als das traditionelle leicht fischte Passwort finden Sie unter dieses kurze Video von Kim Cameron von seinem Identity Weblog .

Answer 9

OpenID kann gemacht werden sicherer, wenn Sie wählen, ob alle OpenID-Provider zu ignorieren, die nicht unterstützen HTTPS

Answer 10

Ich denke, die größte Schwäche der meisten OpenId Anbieter ist, dass sie Passwort-Wiederherstellung per E-Mail bieten. Das reduziert OpenId Sicherheit für die Sicherheit meiner E-Mail-Anbieter. Wenn jemand Zugriff auf mein E-Mail-Konto bekommt kann er effektiv meine Identität stehlen (mit oder ohne OpenId).

Mit OpenID zur Authentifizierung macht ym Identität zu stehlen gerade einfacher. Nehmen Sie einfach den Zugriff auf mein E-Mail-Konto und mein OpenId Passwort zurücksetzen. Nichts mehr zu tun (statt 100 Passwort-Reset-Anfragen, ein für jedes meiner Konten auf dem Netz).

Noch schlimmer ist, wenn der Angreifer meine E-Mail-Passwort des Kontos ändert, wird es sehr schwer für mich zu beweisen, dass ich der ursprüngliche Besitzer des OpenID-Konto bin. Der Angreifer könnte das zugehörige E-Mail-Konto zu sein einem ändern, so kann ich das Passwort nicht zurückgesetzt, selbst wenn ich später mein E-Mail-Konto zurück.

Es könnte ausreichen, um Zugang zur Passwort-Wiederherstellung E-Mail meiner OpenID-Provider zu erhalten senden meine Identität zu stehlen.

OpenId Anbieter Müssen bieten E-Mail-Passwort-Wiederherstellung zu deaktivieren und bieten eine sichere Art und Weise ein verlorenes Passwort zu erholen. Etwas basierend auf Postanschrift, Reisepass oder Bankkonto (Dinge, die ich vertraue mehr als ein E-Mail-Konto).

Solange ein OpenID-Konto kann über nur um immer Zugriff auf einen einzigen genommen werden eine E-Mail, es ist nichts anderes als eine weitere Single Point of Failure.

Siehe auch: http://danielmiessler.com/blog/from-password-reset-mechanisms-to-openid-a-brief-discussion-of-online-password-security , wo" The Weakest Link: E-Mail Passwort Zurücksetzen Mechanismen“angesprochen wird, auch.

Answer 11

Während dieser Thread alt Ich wollte meine 2 Cent hinzuzufügen. Ich denke, OpenId einen Schönheitsfehler hat, dass niemand zu kümmern scheint. Wenn ich mit Yahoo authentifizieren, meldet es mir tatsächlich in yahoo. Es sollte Sie nicht in Yahoo einzuloggen es sollte nur authentifizieren, dass Sie die richtigen Anmeldeinformationen mit Yahoo haben. Wenn Sie aus meiner App anmelden, werden Sie noch in yahoo angemeldet. Wenn Sie weg von einem gemeinsam genutzten Computer gehen und eine andere Person geht zu Yahoo, werden Sie angemeldet .. denn wenn man mit Yahoo authentifiziert, sie melden Sie sich auch in ihren Dienst. Sie sollten Sie nur authentifizieren, nicht melden Sie sich in. Ich habe gesagt, mehrere Menschen über dieses und sogar demonstriert es mit stackoverflow.com (wer hat einen schrecklichen ausloggen Mechanismus, wenn ich mich anmelde losschlagen erwarte ich werden abgemeldet, nicht klicken Sie bitte eine andere Logout-Button). Versuchen Sie, diese Abmeldung von Yahoo oder Google Mail. Schließen Sie alle Tabs, und dann melden Sie sich bei Stackoverflow mit yahoo / gmail. Dann Stapelüberlauf ausloggen aus .. (stellen Sie sicher, Sie treffen Abmelde zweimal) .. jetzt auf Yahoo oder Google Mail finden, sind Sie angemeldet. Nun ist die abfällige Antwort, die ich erhalten, ist „nicht diesen Computer verwenden, können Sie sich abmelden sollten von Yahoo / gmail, etc“... Jeder Mensch ist kein Entwickler mit einem Abschluss in MIS oder Informatik, würde meine Schwiegermutter denken, wenn sie aus dem Stackoverflow angemeldet, dass sie .. Vielleicht in Yahoo noch nicht angemeldet sein, würde ich einige Parm oder bin etwas fehlt, die tatsächlich zwingen wird, was ich will, aber es ist sicherlich nicht in der Dokumentation, die Sie erzählen, wie groß ist OpenID !!!

Answer 12

Ouch. MyOpenID Berichte nicht bestätigten E-Mail-Adressen, habe gerade einen Test dafür. Sieht aus wie E-Mail info sollte nur für einige manuell weiß gelisteten Anbietern wie Google / Yahoo und einige andere trauen. Ich werde den Code hier verknüpfen, wenn jemand interessiert.

Answer 13

Ich mag Verisign VIP-Zugang, die Websites nutzen, und es gibt eine nette kleine iPhone-Anwendung machen, dass Sie lassen haben Ihr Token generiert zu bekommen, ähnlich wie SecureID