Pregunta ¿Es seguro el id abierto?


¿Es seguro Open ID, por ejemplo, puede usarlo para iniciar sesión en cuentas bancarias?


9
2018-02-09 15:45


origen


Sí, 2.0 es muy seguro. Ir a leer en.wikipedia.org/wiki/OpenID "OpenID no proporciona su propia forma de autenticación, pero si un proveedor de identidad utiliza una autenticación sólida, OpenID puede usarse para transacciones seguras como la banca y el comercio electrónico". - Evan Carroll
Sí, creo que la verdadera pregunta es ... ¿Está seguro su proveedor de OpenID? - Andor


Respuestas:


OpenID es tan seguro como el proveedor de OpenID (es decir, "si alguien ingresa en su cuenta de Myspace, tiene acceso a su OpenID y todo lo que lo usa").

Personalmente no lo confiaría con nada de valor. La mayoría de los proveedores de OpenID tienen un historial de seguridad bastante pésimo.


8
2018-02-09 15:48



Creo que estás pasando por alto las ventajas de OpenID y descartándolas como mera conveniencia. - Evan Carroll
@Evan: OpenID tiene muchas ventajas, de hecho, uso OpenID para los sitios de trilogía SO. Sin embargo, ninguna de las ventajas anula mis preocupaciones de seguridad, y ciertamente no confío en la seguridad de mi proveedor de OpenID con la información de mi cuenta bancaria :-) - voretaq7
Claro que sí, ¿qué hay de reducir su declaración OpenID is as secure as the OpenID provider, a X is as secure as the X provider: en cuyo caso no estás diciendo nada en absoluto. Si bien su declaración es cierta, es inane: creo que cualquier persona con el conocimiento suficiente para configurar y mantener OpenID es probablemente al menos tan calificado como un banco por el mérito de que uno está vendiendo una solución técnica, mientras que el otro está vendiendo una financiera. . Sí, confío en Google / Yahoo / Verisign mucho más de lo que confío en Washington Mutual - Evan Carroll
@Evan - Cualquier servicio es por definición Sólo tan seguro como el proveedor. Mi opinión es que OpenID, si bien es un protocolo valioso, no ofrece garantías estructurales suficientes en cuanto a la seguridad de sus proveedores para yo confiar en él para la autenticación crítica. Eres libre de estar en desacuerdo con mi evaluación, pero estoy detrás de lo que dije. - voretaq7
@ Evan, parece que te apasiona este tema, hasta el punto de estar obsesionado. Quizás necesites dar un paso atrás y echar otro vistazo. El hecho de que USTED confíe en OpenID no lo hace seguro. No somos los primeros en desconfiar de eso y ciertamente no serán los últimos. En cuanto al factor de conveniencia, ese no es el tema de la pregunta. - John Gardeniers


Si bien estoy de acuerdo con voretaq7 en que OpenID es tan seguro como el proveedor de OpenID, debo decir que al seleccionar un proveedor de OpenID para usar, se debe tener cuidado para asegurarse de que esté usando un proveedor confiable. Esta misma idea se aplica a todo lo que tenga que ver con la seguridad. Google, AOL, y creo que incluso Verisign ahora ofrece OpenIDs y estas compañías / proveedores tienen un buen historial.

Una de las principales ventajas de OpenID sobre la seguridad propia o algún otro paquete de terceros es que pone el aspecto de autenticación de la seguridad en manos de empresas con más experiencia y más recursos para manejar que la mayoría de las entidades más pequeñas. Tienden a tener una mejor capacidad para proteger sus servidores y datos. Como empleado de una pequeña tienda, ciertamente confiaría en Google más que yo mismo para configurar correctamente los servidores, firewalls, etc. necesarios para proteger estos datos.

Sin embargo, OpenID es igual de vulnerable al aspecto más peligroso de todos: los usuarios que escogen credenciales débiles.


5
2018-02-09 17:19



Google, Verisign, etc. probablemente estén proporcionando OpenIDs "razonablemente seguros", pero nadie puede ser un proveedor de OpenID, y todo el concepto de OpenID (como lo entiendo) es aceptar un OpenID válido de cualquier proveedor para que las personas no tengan que configurar un montón de cuentas diferentes. Alguien que seleccione un proveedor de OpenID inseguro (o uno con recuperación de contraseña insegura) podría ser casi Tan peligroso como los usuarios que usan. abc123 como sus contraseñas ... - voretaq7
Parece que la única persona peligrosa es el usuario. Ellos son los que seleccionan cuál es la contraseña, si usan OpenID y quién debería ser. ¿Debería ser nuestra responsabilidad protegerlos de ellos mismos? - Chris
Si está ejecutando un servicio que acepta OpenIDs para la autenticación, podría fácilmente incluir en la lista negra a los proveedores no confiables, o en la lista blanca a los buenos proveedores conocidos. De esa forma puede evitar que los proveedores le permitan al usuario establecer una contraseña insegura. - GAThrawn
@Chris: Mientras tengamos que enfrentarnos a la tormenta de culpas cuando una cuenta esté comprometida, sí, al menos parcialmente. (Es por eso que algunos sitios tienen políticas de contraseña como "> = 8 caracteres, alfanuméricos + al menos 1 carácter especial"). - voretaq7
@ voretaq7: cualquiera puede ser un banco también. - Evan Carroll


OpenID es una forma de delegar la autenticación a un tercero. Para una aplicación de alta confianza como la banca, a quien delegas la autenticación es una decisión de seguridad importante. El protocolo de openID en su forma actual es suficiente para cualquier estándar que permita la autenticación de un solo factor (el token de autenticación de openID) o la autenticación delegada a un sistema que tenga suficientes garantías de autenticación.

La siguiente pregunta: ¿Hay algún proveedor de OpenID actual suficientemente seguro para la banca en línea?

Esa es una pregunta diferente, y es probablemente negativa en este momento. Sin embargo, no hay nada (técnico) que detenga, por ejemplo, a un consorcio de bancos estadounidenses que reúne recursos para crear un único proveedor de OpenID bancario que siga un estándar establecido y sea auditado. Ese proveedor de openID puede usar cualquier método de autenticación que necesite, ya sea SiteKey, SecureID, tarjeta inteligente o cualquier otra cosa que se requiera. Considero que esta posibilidad es poco probable para los principales bancos comerciales, pero la comunidad de Credit Union podría intentarlo.


5
2018-02-09 18:25



Consideraría que VeriSign PIP y probablemente MyOpenID son lo suficientemente seguros para realizar operaciones bancarias. - grawity


OpenID es tan seguro como el más débil de (1) el sitio en el que está intentando iniciar sesión; (2) su proveedor de OpenID; o (3) el sistema DNS.

Recomendación:

  • Use el sistema de seguridad / inicio de sesión recomendado por su banco y entienda los términos y condiciones del servicio para que conozca sus derechos si su cuenta está comprometida.
  • No aliente a su banco a adoptar OpenID, ya que esto reducirá la seguridad de su servicio.

Debilidades:

Una consecuencia inmediata de este hecho es que OpenID puede a lo mejor ser tan seguro como el sitio en el que está intentando iniciar sesión; nunca puede ser Más seguro.

En el protocolo OpenID, la redirección a su proveedor está bajo el control del sitio en el que está iniciando sesión, lo que lleva a phishing trivial y ataques de hombre en el medio. Dichos ataques permitirán que un sitio hostil robe sus credenciales de OpenID sin que lo sepas, que luego pueden usar para iniciar sesión en cualquier otro sitio habilitado para OpenID como usted.

Los ataques de DNS son más complicados, pero permitirán que un atacante convenza a su banco de que es su proveedor de OpenID. El atacante inicia sesión con su OpenID, y su proveedor falso le da autorización al banco. En este caso, el atacante no necesita phishearlo ni aprender su contraseña ni instalar nada en su computadora; todo lo que necesita es su OpenID.

De manera similar, un ataque a su proveedor de OpenID le permitirá al atacante iniciar sesión como usted en cualquier sitio habilitado para OpenID, sin saber su contraseña.

Más información sobre las debilidades y ataques de OpenID en http://www.untrusted.ca/cache/openid.html .


2
2018-02-07 17:38





OpenID es un protocolo. El protocolo es muy seguro, sin embargo, el método backend-auth no tiene por qué serlo. Puede ejecutar un portal OpenId que validará a un usuario de un cuadro de dos a través de telnet en Bangladesh.

¿Es lo suficientemente seguro para la banca? Sí. De hecho, me gustaría que todos los proveedores bancarios lo permitieran. Además, si desea confiar en los proveedores bancarios más que en otros proveedores de tecnología, ¿no sería bueno que lo hicieran? proporcionar ¿eso?


1
2018-02-09 21:12



Solo porque a un banco se le confía su dinero, ¿eso los califica para manejar identidades digitales? - Chris
@chris: No, no lo hace. Pero esa parece ser la tendencia de este hilo. Prefiero que los bancos sigan manejando el dinero y utilicen google para manejar mi autenticación. El punto es que no importa en quién confíe, alguien que no sea el banco o el banco: si cada banco fuera un proveedor y consumidor de Openid, podría usar su autenticación en google o google en el banco: OpenID es simplemente El protocolo que les permita comunicarse. - Evan Carroll