OpenID retrofitting et puis-je savoir où des données sensibles sont impliquées?
https://stackoverflow.com/questions/144324
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
J'envisage d'ajouter OpenID à nos zones d'administration et de panneau de contrôle destinées aux clients ...
1 - Association d'OpenID à des comptes existants
Pour les clients qui ont déjà un compte chez nous, je pense qu’ils devraient se connecter en utilisant le numéro de compte existant que nous émettons, puis j’aurais un mécanisme pour associer leur OpenID à ce compte dans la zone de gestion de leur compte ( appelez-le 'OpenID Manager' pour des raisons d’argumentation).
Dans 'OpenID Manager', en supposant que l'utilisateur possède déjà un OpenID, puis-je authentifier l'utilisateur sur son OpenID puis l'associer à notre numéro de compte généré pour les futures connexions OpenID (en supposant qu'ils s'authentifient correctement)?
2 - Données sensibles
Bien que nous ne stockions pas l'intégralité des données de carte de crédit dans notre base de données, il existe d'autres données sensibles, factures, détails de domaine, etc. Après avoir lu cet article http://idcorner.org/2007/08/22/the-problems-with-openid/ Je suis un peu prudent sur l’idée d’utiliser OpenID de cette façon, quel est le consensus général avec vous?
La solution
Il me semble que bon nombre des arguments contre OpenID sont tirés d'ignorance ou de la part de personnes ayant le courage de miser à fond.
Par exemple, le document auquel vous créez un lien se plaint que s’identifier avec un URI est "déshumanisant et plus qu'un peu effrayant". S'agit-il d'une plainte légitime ou de quelque chose écrit par quelqu'un qui cherche désespérément à trouver une solution?
Les deux principaux problèmes évoqués sont le phishing et les comptes compromis. Ces arguments ont été si souvent reformulés qu'il est difficile de prendre quelqu'un au sérieux s'il le présente à nouveau sans nouvelle remarque.
La protection contre le phishing dépend du fournisseur. Certains fournisseurs offrent une sécurité bien supérieure à celle des sites Web classiques. Certains fournisseurs n'offrent que le nom d'utilisateur et le mot de passe typiques. Quoi qu'il en soit, si un compte est compromis, c'est quelque chose entre l'utilisateur et son fournisseur, ce n'est pas votre préoccupation. Vous ne craignez pas que l'utilisateur final ait un enregistreur de frappe installé sur son ordinateur, n'est-ce pas? En effet, leur sécurité locale ne vous incombe pas, même si cela peut être utilisé pour accéder à leur compte. De même avec OpenID - sa sécurité n’est pas de votre responsabilité.
Si vous compromettez un OpenID, il vous donne accès à plusieurs sites Web. Bien sûr, mais il en va de même pour le courrier électronique. Dites simplement que vous avez oublié votre mot de passe et que vous en recevez un nouveau. Vous avez maintenant accès à tous les comptes enregistrés avec cette adresse électronique.
OpenID n’est pas pire que le statu quo, et il est nettement meilleur dans de nombreuses circonstances, en particulier pour les utilisateurs informés. Si vous en êtes toujours méfiant, rendez-le simplement facultatif, afin que seuls les utilisateurs avertis l'utilisent.
Autres conseils
J'autoriserais l'enregistrement de plusieurs OpenID avec un compte particulier. C'est une fonctionnalité intéressante, car elle permet aux utilisateurs de migrer entre OpenID si le besoin s'en faisait sentir.
Cela dit, le lien idcorner soulève un bon point. Je pense qu'il dépasse largement le problème de sécurité et fait de nombreuses hypothèses idiotes sur le fonctionnement des fournisseurs OpenID, mais qu'OpenID n'est pas destiné à remplacer toutes les formes d'authentification d'utilisateur. Il est conçu pour faciliter la vie en voiture. les utilisateurs à interagir avec un site avec une forme d'authentification de base.
- Vous êtes déjà allé sur le blog de quelqu'un, vous souhaitez publier un commentaire, mais vous devez d'abord passer par un enregistrement de 3 pages? OpenID résout ce problème.
- Vous souhaitez publier un rapport de bogue rapide sur un outil de suivi public, mais vous devez d'abord créer un compte? OpenID à la rescousse.
- Vous souhaitez stocker des données propriétaires sensibles de manière accessible par le Web et fournir un accès uniquement aux personnes de confiance? OpenID n'est pas la solution.
