Existem riscos de segurança associados a me usando OpenID como método de autenticação no meu site?

Question

OpenID um método seguro de usuários de autenticação em um site?

E, se não, quais são os riscos de segurança associados com OpenID?

Answer 1

Na verdade, eu sempre não gostava OpenID por várias razões.

• Eu tenho que confiar no provedor de OpenID que eu dei meus dados. Eu confio em certos lados a determinados graus, mas só porque eu pode confiar Stack Overflow, eu não confio automaticamente qualquer um dos provedores OpenID bem conhecidas.

  2. Se minha senha OpenID é comprometida, todos os meus sites onde eu estou usando OpenID estão comprometidas. Normalmente eu iria escolher uma senha diferente para cada site que estou usando, mas eu não posso com OpenID.

  3. Eu não gosto do conceito Persona em tudo. Mesmo que eu sou perguntado antes que qualquer dado é enviado, ele simplesmente não parece certo que um provedor tem esta informação e outros serviços podem solicitar. Ok, eu não tenho que usá-lo se eu não gosto, mas o conceito parece falho para mim.

  4. Como já foi mencionado, os dados são enviados entre um local e o provedor OpenID e vice-versa. Sempre que os dados são trocados, pode ser comprometida. Nenhum sistema é 100% seguro; nem mesmo SSL (HTTPS). É uma diferença se os dados só viaja de mim para um lado e para trás para mim mesmo ou se ele também viaja de que lado a outro e vice-versa.

  5. Se um provedor de OpenID é cortado e o hacker obtém os dados de login de todos os usuários (afinal eles são lindos centralizadas em um só lugar!), Basta pensar no impacto!

Apenas para citar alguns. Eu também não conseguem ver a grande vantagem do OpenID. Para o usuário que dizem

1. Mais rápido e mais fácil de registro e login
   • Redução frustração esquecido o nome de usuário / senha
   • Manter atual dados pessoais em sites preferidos
   • minimizar os riscos de segurança de senha

Ok, vamos analisar isso.

(1) Quantas vezes você se inscrever para uma página por dia? 200 vezes? Se eu registrar para 2 páginas por semana, que já é muito mínima. Normalmente vez por 2-3 um mês, no máximo (na verdade estouro de pilha, ou do meu provedor OpenID usar Stack Overflow, foi a última página eu registrei e isso não foi bastante ontem). Então, quando você se cadastra em 2 sites de um mês, você não tem os 5 minutos que demora a preencher um formulário? Vamos, não seja ridículo.

(2) Como? Porque ele usa a mesma senha em todos os lugares? "Este é sem futuro, este é um erro", a maioria dos especialistas em segurança diria. Ou porque me permite recuperar minha senha via e-mail? Bem, na verdade quase qualquer utilização lado Eu me permite fazê-lo. Apesar disso, o meu Firefox lembra minhas senhas muito bem, armazena-os criptografados no disco (usando uma senha master) e este banco de dados criptografado é back-uped regularmente para não se perder.

(3) Bem, esta é provavelmente algo positivo ... No entanto, o meu nome nunca mudou até agora, o meu endereço de e-mail não será tanto como ele é um dos domínio que eu uso e encaminhado para um endereço real ( de modo que o real pode mudar, eu só atualizar a frente e tudo funciona como antes). Meu endereço de rua? Bem, algumas pessoas se mover muito. Eu só mudou uma vez em toda a minha vida até agora. No entanto, a maioria dos lados não precisa saber o meu endereço de rua. Sites onde vejo nenhuma razão para ter as pessoas saber esta informação, mas que a demanda me para preenchê-lo para registrar, é só pegar um falsificado. Há muito pouco sites em toda a Internet que sabem meu endereço real (na verdade, apenas aqueles que podem nunca ter de me enviar uma carta por correio ou onde eu poderia encomendar mercadorias).

(4) Na verdade eu vê-lo de outra maneira. Ela maximiza o risco de segurança. Como seria minimizar o risco?

Answer 2

Concordo com muitos dos pontos David faz acima, então eu estou fazendo alguns pontos aqui apenas por uma questão de argumento.

Para o usuário experiente, eu diria que OpenID é uma mais forma segura de autenticação do que muitos sites oferecem. Agora deixe-me fazer backup essa afirmação. Primeiro o que quero dizer com um usuário conhecedor ? Eu definiria essa pessoa como alguém que está ciente dos pontos fracos do OpenID e quem toma medidas para mitigá-los:

• Mantém múltiplas personas se eles não querem sites para ser capaz de rastreá-los de forma eficaz.
• Registros de dois ou mais provedores de OpenID em sites onde 24/7 acesso é um problema.
• Sempre logins para o seu provedor de OpenID diretamente. Eles nunca se para uma página de um 3rd party site redireciona-los a.

Muitos sites não sei como manter segura senhas do usuário . A coisa realmente agradável com OpenID é que I começa a escolher o meu provedor OpenID e, assim, o nível de autenticação necessária para acessar uma terceira parte confiável. Por exemplo, eu posso escolher para delegar autenticação para Verisign ou Trustbearer - ambos os quais fornecem técnicas de autenticação mais forte do que a maioria dos sites na web. Eu seria muito melhor confiar em uma organização especializada em segurança com a minha senha de algum site aleatório na web. Então, eu diria, que para o usuário knowledeable, OpenID pode ser mais seguro que cada website implementar seu próprio sistema de autenticação.

Tudo o que está sendo dito, a maioria dos usuários não estão cientes dos fatores de risco inerentes à OpenID e não tomar as medidas para atenuar os riscos.

Answer 3

OpenID é inerentemente inseguro. Ele funciona através do seu site redirecionar o usuário para seu site provedor de ID aberto e, em seguida, aceitar uma volta ID a partir desse site. Isso proporciona insegurança em ambas as direções. Você tem que confiar no ID que volta (como você não tem nenhuma forma de autenticar o usuário se) e é fácil de operar um proxy para provedor de Open ID do usuário, que permite que você roubar o seu nome de usuário e senha.

OpenID é bom para algo como Stack Overflow, onde ele realmente não se importa se alguém Representa você. Usando OpenID para sites com mais sério - a nível pessoal - o conteúdo é extremamente arriscado. Se você usar o OpenID para o seu e-mail, por exemplo, então ninguém roubar o seu Id pode acessar seu e-mail. Eles poderiam, por sua vez pedidos lembrete de senha Enviar para outros sites que você usa para obter senhas para esses sites. Na pior das hipóteses, você poderia usar OpenID para uma conta bancária, ou ter um banco que envia lembretes de senha para a sua conta de e-mail ...

Existem inúmeros outros problemas de segurança com OpenID. Você pode encontrar mais informações no "Privacidade na Internet" .

Answer 4

OpenID faz adicionar outro interlocutor para o processo de autenticação que você deve tratar como um confiável componente. É bastante semelhante a este respeito, qualquer aplicativo que permite a recuperação de conta por e-mail, mas que suas mensagens são transmitidas em texto simples, você pode escolher para se comunicar com os prestadores de OpenID somente sobre Verificado conexões HTTPS.

Revisão secção da especificação as Considerações segurança .

Para uma grande descrição dos pontos fracos na OpenID e uma demonstração de como um bom provedor OpenID pode dar uma experiência que é muito mais seguro do que a senha tradicional facilmente phished, consulte este pequeno vídeo por Kim Cameron de sua Identidade Weblog .

Answer 5

OpenID pode ser mais seguro se você optar por ignorar todos os provedores de OpenID que não suportam HTTPS

Answer 6

Acho que a principal fraqueza da maioria dos provedores de OpenID é que eles oferecem recuperação de senha via e-mail. Isso reduz a segurança OpenID para a segurança do meu provedor de e-mail. Se alguém tem acesso ao meu e-mail conta que ele pode efetivamente roubar a minha identidade (com ou sem OpenId).

Usando OpenID para autenticação faz roubar identidade ym apenas mais fácil. Apenas tenha acesso à minha conta de e-mail e redefinir minha senha OpenID. Nada mais a fazer (em vez de 100 pedidos de redefinição de senha, um para cada uma das minhas contas na web).

Ainda pior, se o atacante altera a senha da minha conta de e-mail que será muito difícil para mim para provar que eu sou o proprietário original que conta OpenID. O atacante pode alterar a conta de e-mail associado à sua única por isso não pode redefinir a senha, mesmo se eu voltar a minha conta de e-mail mais tarde.

Pode ser o suficiente para obter acesso à recuperação de senha de e-mail o meu provedor de OpenId envia para roubar a minha identidade.

provedores OpenID musst oferecer a desativação de recuperação de senha de e-mail e fornecer uma maneira mais segura para recuperar uma senha perdida. Algo baseado em endereço postal, passaporte ou conta bancária (coisas que eu confio mais do que uma conta de e-mail).

Enquanto uma conta OpenID pode ser tomado por apenas ter acesso a um único e-mail que não é nada mais do que um único ponto adicional de fracasso.

Veja também: http://danielmiessler.com/blog/from-password-reset-mechanisms-to-openid-a-brief-discussion-of-online-password-security onde" O elo mais fraco: Email Senha Redefinir mecanismos" se dirige também.

Answer 7

Enquanto esta discussão é velha Eu queria adicionar meus 2 centavos. Acho OpenId tem uma falha que ninguém parece se preocupar. Quando eu autenticar com o Yahoo, que realmente me faz logon no yahoo. Não deve logar você em yahoo ele deve apenas autenticar que você tem as credenciais adequadas com yahoo. Quando você sai do meu aplicativo, você ainda estiver logado em yahoo. Se você andar longe de um computador compartilhado e outra pessoa vai para yahoo, você vai estar conectado .. porque quando você autenticado com o Yahoo, eles também logar você em seu serviço. Eles devem apenas autenticá-lo, não fazer seu login. Eu disse várias pessoas sobre isso e ainda demonstrou-lo com stackoverflow.com (que tem um terrível log out mecanismo, quando eu bati log out espero ser desconectado, não por favor clique outro botão de logout). Tente este Sair do yahoo ou gmail. Fechar todas as guias e, em seguida, entrar em stackoverflow com yahoo / gmail. Em seguida, log out off estouro de pilha .. (certifique-se de bater Sair duas vezes) .. agora navegar para yahoo ou gmail, você está logado. Agora a resposta sarcástica que eu vejo é "Não use um computador compartilhado, você deve fazer logout de Yahoo / gmail, etc" ... Todo mundo não é um desenvolvedor com uma licenciatura em MIS ou ciência da computação, a minha sogra iria pensar quando desconectado do Stackoverflow, que ela não iria estar logado no yahoo ainda .. Talvez eu estou faltando alguma parm ou algo que vai realmente forçar o que eu quero, mas certamente não está na documentação dizendo-lhe como grande OpenID é !!!

Answer 8

Ouch. MyOpenID relata endereços de e-mail não confirmados, apenas fiz um teste para isso. Looks como informações e-mail deve ser confiável apenas para alguns provedores manualmente brancos listados como o google / yahoo e par de outros. Eu vou ligar o código aqui se alguém interessado.

Answer 9

Eu gosto de acesso VIP da Verisign quais sites podem fazer uso, e há um pouco agradável aplicativo para iPhone que permitirá que você tem o seu gerado token para entrar, bem como SecureID