내 사이트의 인증 방법으로 OpenID를 사용하는 저와 관련된 보안 위험이 있습니까?

Question

~이다 개방형 웹 사이트의 안전한 인증 사용자는?

그리고 그렇지 않다면 OpenID와 관련된 보안 위험은 무엇입니까?

Answer 1

실제로 나는 항상 여러 가지 이유로 OpenId를 싫어했습니다.

• 데이터를 제공 한 OpenID 제공 업체를 신뢰해야합니다. 나는 특정 측면을 특정 정도에 신뢰하지만 스택 오버플로를 신뢰할 수 있기 때문에 잘 알려진 OpenID 제공 업체를 자동으로 신뢰하지 않습니다.

  2. OpenID 암호가 손상되면 OpenID를 사용하는 모든 사이트가 손상됩니다. 일반적으로 사용중인 모든 사이트에 대해 다른 비밀번호를 선택했지만 OpenID를 사용할 수는 없습니다.

  3. 나는 페르소나 개념을 전혀 좋아하지 않습니다. 데이터가 전송되기 전에 요청하더라도 한 제공자 가이 정보를 가지고 있으며 다른 서비스를 요청할 수있는 것은 옳지 않은 것 같습니다. 좋아, 마음에 들지 않으면 사용할 필요는 없지만 개념은 나에게 결함이있는 것 같습니다.

  4. 이미 언급 된 바와 같이, 데이터는 사이트와 OpenID 제공 업체간에 전송되고 다시 돌아옵니다. 데이터가 교환 될 때마다 타협 할 수 있습니다. 시스템은 100% 안전하지 않습니다. SSL (HTTPS)조차 없습니다. 데이터가 나에서 옆으로, 그리고 나 자신에게만 여행하거나, 그 쪽에서 다른쪽으로 다시 여행하는 경우에만 차이가 있습니다.

  5. OpenID 제공 업체가 해킹되고 해커가 모든 사용자의 로그인 데이터를 가져 오면 (결국 한 곳에서 사랑스럽게 중앙 집중식이 있습니다!) 그 영향을 생각하십시오!

몇가지 말하자면. 나는 또한 OpenID의 큰 이점을 보지 못합니다. 그들이 말하는 사용자를 위해

1. 더 빠르고 쉬운 등록 및 로그인
   • 잊혀진 사용자 이름/비밀번호에서 좌절감이 줄어 듭니다
   • 선호하는 사이트에서 개인 데이터를 최신 상태로 유지하십시오
   • 비밀번호 보안 위험을 최소화하십시오

좋아, 그것을 분석합시다.

(1) 하루에 페이지를 얼마나 자주 등록합니까? 200 번? 일주일에 2 페이지를 등록하면 이미 많은 것입니다. 일반적으로 최대 2 개월 동안 2-3 명 정도 (실제로 스택 오버플로 또는 스택 오버플로를 사용하기위한 OpenID 제공 업체는 내가 등록한 마지막 페이지였으며 어제는 아니 었습니다). 따라서 한 달에 2 개의 사이트를 등록하면 양식을 작성하는 데 5 분이 걸리지 않습니까? 어서, 말도 안돼.

(2) 어떻게? 어디에서나 동일한 비밀번호를 사용하기 때문에? "이것은 미래가 아닙니다. 이것은 버그입니다"라고 대부분의 보안 전문가들은 말합니다. 아니면 메일을 통해 암호를 복구 할 수 있기 때문에? 글쎄, 실제로 내가 사용하는 거의 모든면에서는 그렇게 할 수 있습니다. 그럼에도 불구하고 내 Firefox는 내 비밀번호를 잘 기억하고 디스크에 암호화 된 (마스터 비밀번호 사용)를 저장 하며이 암호화 된 데이터베이스가 정기적으로 백업되어 절대 손실되지 않습니다.

(3) 글쎄, 이것은 아마도 긍정적 인 것일 것입니다 ... 그러나 내 이름은 지금까지 결코 바뀌지 않았습니다. 내 이메일 주소는 내가 사용하고 실제 주소로 전달한 도메인 중 하나가 아니기 때문에 그렇지 않습니다. 변경할 수 있습니다. 나는 단지 포워드를 업데이트하고 모든 것이 이전과 같이 작동합니다). 내 거리 주소? 글쎄, 어떤 사람들은 많이 움직입니다. 나는 지금까지 평생 한 번만 이사했습니다. 그러나 대부분의 측면은 내 거리 주소를 알 필요가 없습니다. 사람들 이이 정보를 알게 될 이유가없는 사이트는 아니지만 등록을 위해 입력해야합니다. 전체 인터넷에는 내 실제 주소를 알고있는 사이트가 거의 없습니다 (실제로 달팽이 메일을 보내야 할 수도 있고 상품을 주문할 수있는 곳).

(4) 실제로 나는 그것을 다른 방식으로 본다. 보안 위험을 극대화합니다. 위험을 최소화하는 방법은 무엇입니까?

Answer 2

나는 David가 위에서 만드는 많은 점에 동의하기 때문에 논쟁을 위해 여기서 몇 가지 점을 만들고 있습니다.

지식이 풍부한 사용자에게는 OpenID가 더 많은 웹 사이트가 제공하는 것보다 안전한 형태의 인증. 이제 그 진술을 백업하겠습니다. 먼저 무슨 뜻입니까? 지식이 풍부한 사용자? 나는 그 사람을 OpenID의 약점을 알고 있고 그들을 완화하기위한 조치를 취하는 사람으로 정의 할 것입니다.

• 웹 사이트가 웹 사이트가 효과적으로 추적 할 수 있기를 원하지 않는 경우 여러 사람을 유지합니다.
• 24/7 액세스가 문제가있는 웹 사이트에서 두 개 이상의 OpenID 제공 업체를 등록합니다.
• 항상 OpenID 제공 업체에 직접 로그인하십시오. 그들은 제 3 자 웹 사이트가 페이지에 로그인 한 적이 없습니다.

많은 웹 사이트 사용자의 비밀번호를 안전하게 유지하는 방법을 모릅니다.. OpenID의 정말 좋은 것은 그 것입니다 나 내 OpenID 제공 업체를 선택하므로 의존 파티에 로그인하는 데 필요한 인증 수준을 선택하십시오. 예를 들어, 인증을 위임 할 수 있습니다. VERISIGN 또는 신탁 인사 둘 다 웹의 대부분의 웹 사이트보다 훨씬 강력한 인증 기술을 제공합니다. 나는 웹의 임의의 웹 사이트보다 내 비밀번호로 보안을 전문으로하는 조직을 신뢰합니다. 그래서 나는 지식 가능한 사용자에게는 OpenId를 주장합니다. ~할 수 있다 자체 인증 시스템을 구현하는 각 웹 사이트보다 더 안전합니다.

말하면, 대부분의 사용자는 OpenID에 내재 된 위험 요소를 알지 못하며 위험을 완화하기위한 조치를 취하지 않습니다.

Answer 3

OpenID는 본질적으로 불안합니다. 사이트에서 사용자를 열린 ID 제공 업체 사이트로 리디렉션 한 다음 해당 사이트에서 ID를 다시 수락합니다. 이것은 양방향으로 불안감을 제공합니다. 다시 오는 ID를 신뢰해야하며 (사용자 직접 인증 할 수있는 방법이 없으므로) 사용자의 열린 ID 제공 업체에 대한 프록시를 쉽게 조작하여 사용자 이름과 비밀번호를 훔칠 수 있습니다.

OpenID는 스택 오버플로와 같은 것이 좋습니다. 누군가가 당신을 가장하는 것은 중요하지 않습니다. 개인 수준에서 더 심각한 사이트에 OpenID를 사용하는 것은 콘텐츠가 매우 위험합니다. 예를 들어 이메일에 OpenID를 사용하는 경우 ID를 훔치는 사람이라면 누구나 이메일에 액세스 할 수 있습니다. 그런 다음 해당 사이트의 비밀번호를 얻기 위해 사용하는 다른 사이트에 비밀번호 알림 요청을 보낼 수 있습니다. 최악의 경우 은행 계좌에 OpenID를 사용하거나 이메일 계정에 비밀번호 알림을 보내는 은행이있을 수 있습니다 ...

OpenID에는 많은 다른 보안 문제가 있습니다. 더 많은 정보를 찾을 수 있습니다 "인터넷의 개인 정보".

Answer 4

OpenID는 신뢰할 수있는 구성 요소로 취급 해야하는 인증 프로세스에 다른 당사자를 추가합니다. 전자 메일로 계정 복구를 허용하는 응용 프로그램과 관련하여 매우 유사하지만 이메일 메시지는 ClearText로 전송되지만 확인 된 HTTPS 연결을 통해 OpenID 제공 업체와 통신하도록 선택할 수 있습니다.

검토 보안 고려 사항 사양의 섹션.

OpenID의 약점에 대한 훌륭한 설명과 좋은 OpenID 제공 업체가 기존의 쉽게 빠지는 비밀번호보다 훨씬 안전한 경험을 어떻게 제공 할 수 있는지에 대한 시연을 보려면 참조하십시오. Kim Cameron 의이 짧은 비디오 그의 신원 웹 로그.

Answer 5

HTTPS를 지원하지 않는 모든 OpenID 제공 업체를 무시하기로 선택하면 OpenID가 더 안전하게 만들 수 있습니다.

Answer 6

대부분의 개방형 제공 업체의 주요 약점은 이메일을 통해 비밀번호 복구를 제공한다는 것입니다. 이는 개방형 보안을 내 이메일 제공 업체의 보안으로 줄입니다. 누군가 내 이메일 계정에 액세스하면 내 신원을 효과적으로 훔칠 수 있습니다 (OpenID의 유무에 관계없이).

인증을 위해 OpenID를 사용하면 YM 아이덴티티를 더 쉽게 훔칠 수 있습니다. 이메일 계정에 액세스하고 OpenID 비밀번호를 재설정하십시오. 더 이상 할 일이 없습니다 (100 개의 비밀번호 재설정 요청 대신 웹의 각 계정마다 하나씩).

더 나쁜 것은, 공격자가 내 이메일 계정의 비밀번호를 변경하면 내가 OpenID 계정의 원래 소유자임을 증명하기가 매우 어려울 것입니다. 공격자는 관련 이메일 계정을 그의 전자 메일 계정으로 변경하여 나중에 전자 메일 계정을 되 찾더라도 비밀번호를 재설정 할 수 없습니다.

암호 복구 전자 메일에 ACCE를 얻는 것으로 충분할 수 있습니다.

OpenID 제공 업체 인 Musst는 전자 메일 비밀번호 복구를 비활성화하고 손실 된 비밀번호를 복구 할 수있는보다 안전한 방법을 제공합니다. 우편 주소, 여권 또는 은행 계좌를 기반으로 한 것 (전자 메일 계정보다 더 신뢰하는 것).

단일 이메일에 액세스하여 OpenID 계정을 인수 할 수있는 한 추가적인 단일 실패 지점에 지나지 않습니다.

또한보십시오: http://danielmiessler.com/blog/from-password-reset-mechanisms-to-openid-a-brief-discussion-of-online-password-security "가장 약한 링크 : 이메일 비밀번호 재설정 메커니즘"도 마찬가지입니다.

Answer 7

이 스레드가 오래된 동안 2 센트를 추가하고 싶었습니다. 나는 OpenID가 아무도 신경 쓰지 않는 한 가지 결함이 있다고 생각합니다. Yahoo로 인증하면 실제로 Yahoo에 로그인합니다. Yahoo에 로그인해서는 안됩니다. Yahoo와의 적절한 자격 증명이 있음을 인증해야합니다. 내 앱에서 로그 아웃하면 여전히 Yahoo에 로그인됩니다. 공유 컴퓨터에서 멀어지고 다른 사람이 Yahoo로 가면 로그인됩니다. Yahoo를 인증 할 때 서비스에 로그인하기 때문입니다. 그들은 당신을 로그인하지 않고 당신을 인증해야합니다. 나는 이것에 대해 여러 사람들에게 말하고 stackoverflow.com으로 그것을 시연했습니다 (로그 아웃 할 때 끔찍한 로그 아웃 메커니즘이있는 사람은 로그 아웃 될 것으로 예상합니다. 다른 로그 아웃 버튼). Yahoo 또는 Gmail 의이 로그 아웃을 시도하십시오. 모든 탭을 닫은 다음 yahoo/gmail을 사용하여 stackoverflow에 로그인하십시오. 그런 다음 스택 오버 플로우를 로그 아웃하십시오. 야후/gmail 실제로 내가 원하는 것을 강요 할 파름이나 무언가를 놓치고 있지만, 문서에 오픈 니드가 얼마나 큰지 알려주는 것은 아닙니다 !!!

Answer 8

아야. myopenid는 확인되지 않은 이메일 주소를보고합니다. Google/Yahoo와 같은 수동으로 흰색 상장 제공 업체 및 다른 몇 가지에 대해서만 이메일 정보를 신뢰해야합니다. 누군가 관심이 있으시면 여기에 코드를 연결하겠습니다.

Answer 9

나는 Verisign의 VIP 액세스를 좋아하는 사이트가 사용될 수있는 것을 좋아하며, SecureID와 마찬가지로 생성 된 토큰을 얻을 수있는 멋진 작은 iPhone 애플리케이션이 있습니다.