サイトで認証方法としてOpenIDを使用していることに関連するセキュリティ上のリスクはありますか?

StackOverflow https://stackoverflow.com/questions/182258

  •  05-07-2019
  •  | 
  •  

質問

OpenID は、Webサイト上のユーザーを認証する安全な方法ですか?

そして、そうでない場合、OpenIDに関連するセキュリティリスクは何ですか?

役に立ちましたか?

解決

実際には、さまざまな理由でOpenIDが嫌いでした。

  • データを提供したOpenIDプロバイダーを信頼する必要があります。特定の側面をある程度信頼していますが、Stack Overflowを信頼する可能性があるからといって、有名なOpenIDプロバイダーを自動的に信頼することはありません。

    1. OpenIDパスワードが侵害された場合、OpenIDを使用しているすべてのサイトが侵害されます。通常、使用しているサイトごとに異なるパスワードを選択しますが、OpenIDでは使用できません。

    2. ペルソナのコンセプトはまったく好きではありません。データが送信される前に尋ねられますが、1つのプロバイダーがこの情報を持ち、他のサービスがそれを要求できるとは思えません。さて、気に入らなければ使用する必要はありませんが、この概念には欠陥があるようです。

    3. 既に述べたように、データはサイトとOpenIDプロバイダーの間で送信され、再び送信されます。データが交換されるたびに、データが侵害される可能性があります。 100%安全なシステムはありません。 SSL(HTTPS)でさえありません。データが私から側に移動して自分に戻るだけの場合、またはその側から別の側に移動して再び戻る場合に違いがあります。

    4. OpenIDプロバイダーがハッキングされ、ハッカーがすべてのユーザーのログインデータを取得した場合(結局のところ、彼らは1か所に集中できます!)、影響を考えてください!

いくつか例を挙げます。また、OpenIDの大きな利点を見ることもできません。ユーザーのために彼らは言う

  1. より高速な&簡単な登録とログイン
    • ユーザー名/パスワードを忘れた場合のフラストレーションを軽減
    • 優先サイトで最新の個人データを維持する
    • パスワードのセキュリティリスクを最小限に抑える

さて、それを分析しましょう。

(1)1日1ページに登録する頻度はどれくらいですか? 200回? 1週間に2ページの登録をすれば、それはすでに大変なことです。通常、せいぜい月に2〜3か月です(実際、Stack Overflow、またはStack Overflowを使用するOpenIDプロバイダーは、私が登録した最後のページであり、これは昨日ではありませんでした)。それで、あなたが月に2つのサイトに登録するとき、あなたはフォームに記入するのにかかる5分を持っていませんか?さあ、ばかげてはいけない。

(2)方法は?どこでも同じパスワードを使用しているのですか? 「これは未来ではありません、これはバグです」と、ほとんどのセキュリティ専門家は言うでしょう。または、メールでパスワードを回復できるからですか?まあ、実際に私が使用するほとんどすべての側面はそうすることができます。それにもかかわらず、Firefoxはパスワードを非常によく覚えており、マスターパスワードを使用して暗号化してディスクに保存し、この暗号化されたデータベースは定期的にバックアップされて失われないようにします。

(3)まあ、これはおそらく前向きなことでしょう...しかし、私の名前はこれまでに変更されておらず、私のメールアドレスは私が使用しているドメインの1つであり、実際のアドレス(実際のものは変更できるので、フォワードを更新するだけで、すべてが以前と同様に機能します)。私の番地?まあ、何人かの人々は多く移動します。私はこれまでの人生で一度だけ動いた。ただし、ほとんどの側は私の住所を知る必要はありません。人々にこの情報を知ってもらう理由がないと思うサイトですが、登録するためにそれを記入する必要があります。インターネット全体には、私の実際の住所を知っているサイトはほとんどありません(実際、私にカタツムリメールを送らなければならないサイトや、商品を注文する場所だけです)。

(4)実際、私はそれを逆に見ています。セキュリティリスクを最大化します。リスクをどのように最小限に抑えますか?

他のヒント

私は、デビッドが上記の多くの点に同意しているので、ここでは議論のためにいくつかの点を挙げています。

知識のあるユーザーにとって、OpenIDは、多くのWebサイトが提供するものよりもより安全な認証形式であると主張します。では、その声明をバックアップさせてください。まず、知識のあるユーザーとはどういう意味ですか?私はその人を、OpenIDの弱点を認識し、それらを緩和するための対策を講じている人と定義します。

  • Webサイトで効果的に追跡することを望まない場合、複数のペルソナを維持します。
  • 24時間365日のアクセスが問題となるWebサイトに2つ以上のOpenIDプロバイダーを登録します。
  • 常にOpenIDプロバイダーに直接ログインします。サードパーティのWebサイトからリダイレクトされたページにログインすることはありません。

多くのWebサイトユーザーのパスワードを安全に管理する方法がわからない。 OpenIDの本当に素晴らしいところは、 I がOpenIDプロバイダーを選択できるようになったことです。したがって、証明書利用者へのログインに必要な認証レベルを選択できます。たとえば、認証を Verisign または Trustbearer -どちらもウェブ上のほとんどのウェブサイトよりもはるかに強力な認証技術を提供します。私は、Web上のランダムなWebサイトよりも、パスワードを使用したセキュリティを専門とする組織を信頼します。したがって、知識豊富なユーザーにとって、OpenIDは、各Webサイトが独自の認証システムを実装するよりも安全であると考えています。

すべてのことを言っても、ほとんどのユーザーはOpenIDに固有のリスク要因を認識しておらず、リスクを軽減するための措置を講じません。

OpenIDは本質的に安全ではありません。それはあなたのサイトがユーザーを彼らのオープンIDプロバイダーサイトにリダイレクトし、そのサイトからIDを受け取ることで機能します。これにより、両方向に不安が生じます。 (自分でユーザーを認証する方法がないため)戻ってくるIDを信頼する必要があり、ユーザーのオープンIDプロバイダーへのプロキシを簡単に操作できます。これにより、ユーザー名とパスワードを盗むことができます。

OpenIDはStack Overflowのようなものに適しています。誰かがあなたになりすますかどうかは重要ではありません。より深刻なサイトにOpenIDを使用する–個人レベルで–コンテンツは非常に危険です。たとえば、メールにOpenIDを使用している場合、IDを盗む人はだれでもメールにアクセスできます。次に、それらのサイトのパスワードを取得するために使用する他のサイトにパスワードリマインダーリクエストを送信できます。最悪の場合、銀行口座にOpenIDを使用するか、パスワードリマインダーをメールアカウントに送信する銀行を持つことができます...

OpenIDには他にも多くのセキュリティ問題があります。詳細については、"インターネット上のプライバシー"

OpenIDは認証プロセスに別のパーティを追加しますが、これは信頼できるコンポーネントとして扱う必要があります。電子メールによるアカウント回復を許可するアプリケーションに関しては非常に似ていますが、電子メールメッセージはクリアテキストで送信されますが、検証済みのHTTPS接続を介してのみOpenIDプロバイダーと通信することを選択できます。

仕様のセキュリティに関する考慮事項セクションを確認してください。

OpenIDの弱点の詳細な説明と、優れたOpenIDプロバイダーが従来の簡単にフィッシングされたパスワードよりもはるかに安全なエクスペリエンスを提供する方法のデモンストレーションについては、キムキャメロンによるこの短いビデオアイデンティティウェブログ

HTTPSをサポートしないすべてのOpenIDプロバイダーを無視することを選択した場合、OpenIDをより安全にすることができます

ほとんどのOpenIdプロバイダーの主な弱点は、電子メール経由でパスワードを回復できることです。これにより、OpenIdセキュリティが電子メールプロバイダーのセキュリティに低下します。誰かが私の電子メールアカウントにアクセスした場合、その人は(OpenIdの有無にかかわらず)事実上私の身元を盗むことができます。

OpenIdを認証に使用すると、ym IDを簡単に盗むことができます。電子メールアカウントにアクセスして、OpenIdパスワードをリセットするだけです。もう何もする必要はありません(100個のパスワードリセットリクエストの代わりに、ウェブ上のアカウントごとに1つ)。

さらに悪いことに、攻撃者が私の電子メールアカウントのパスワードを変更した場合、私がそのOpenIdアカウントの元の所有者であることを証明するのは非常に困難です。攻撃者は関連する電子メールアカウントを自分の電子メールアカウントに変更する可能性があるため、後で電子メールアカウントを取り戻してもパスワードをリセットできません。

IDを盗むためにOpenIdプロバイダーが送信するパスワード回復メールにアクセスすれば十分かもしれません。

OpenIdプロバイダーmusstは、電子メールパスワードの回復を無効にし、失われたパスワードを回復するためのより安全な方法を提供します。住所、パスポート、または銀行口座に基づくもの(電子メールアカウントよりも信頼できるもの)。

単一の電子メールにアクセスするだけでOpenIdアカウントを引き継ぐことができる限り、追加の単一障害点に過ぎません。

参照: http://danielmiessler.com/blog/from-password-reset-mechanisms-to-openid-a-brief-discussion-of-online-password-security ここで"最も弱いリンク:メールパスワードリセットメカニズム"住所もあります。

このスレッドは古いですが、2セントを追加したかったです。 OpenIdには、誰も気にしないような欠陥があると思います。 Yahooで認証すると、実際にyahooにログインします。 yahooにログインするのではなく、yahooで適切な資格情報があることを認証するだけです。私のアプリからログアウトしても、yahooにログインしたままです。共有コンピュータから離れて他の人がyahooに行くと、ログインします。Yahooで認証されると、彼らもあなたのサービスにログインします。ログインするのではなく、単に認証する必要があります。これについては複数の人に話しており、stackoverflow.com(ひどいログアウトメカニズムを持っています)でそれを実証しました。ログアウトするときは、クリックしないでください。別のログアウトボタン)。 yahooまたはgmailのこのログアウトを試してください。すべてのタブを閉じて、yahoo / gmailでstackoverflowにログインします。次に、スタックオーバーフローからログアウトします。(ログアウトを2回押すことを確認してください)。yahooまたはgmailを参照してログインします。今度は、スナイドの答えは「共有コンピューターを使用しないでください。ログインする必要があります」 Yahoo / gmailなどから...」誰もがMISやコンピューターサイエンスの学位を持つ開発者ではないので、義理の母はStackoverflowからログアウトすると、まだyahooにログインしていないと思うでしょう。私は実際に私が望むものを強制するいくつかのparmまたは何かを見逃していますが、それは確かにOpenIdがどれほど素晴らしいかをあなたに伝えるドキュメントにはありません!!!

はい。 MyOpenIDは未確認のメールアドレスを報告しますが、そのためのテストを行いました。電子メール情報は、google / yahooなどの手動でホワイトリストに登録された一部のプロバイダーと他のいくつかのプロバイダーに対してのみ信頼される必要があるようです。誰かが興味がある場合は、ここにコードをリンクします。

サイトで利用できるVerisignのVIPアクセスが好きです。また、secureIDのように、生成されたトークンを取得できる素敵な小さなiPhoneアプリケーションがあります

ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top