Назад | Перейти на главную страницу

Безопасен ли открытый идентификатор?

Безопасен ли открытый идентификатор, например, можете ли вы использовать его для входа в банковские счета?

OpenID так же безопасен, как и поставщик OpenID (т.е. «Если кто-то взломает вашу учетную запись Myspace, у него будет доступ к вашему OpenID и всему, что его использует»).

Лично я бы не стал доверять ему ничего ценного. У большинства провайдеров OpenID довольно плохая репутация в области безопасности.

Хотя я согласен с voretaq7, что OpenID настолько же безопасен, как и поставщик OpenID, я должен сказать, что при выборе поставщика OpenID для использования необходимо позаботиться о том, чтобы убедиться, что вы используете надежного поставщика. Эта же идея применима ко всему, что связано с безопасностью. Google, AOL и, я думаю, даже Verisign теперь предлагают идентификаторы OpenID, и эти компании / провайдеры имеют хороший послужной список.

Одним из основных преимуществ OpenID перед собственной системой безопасности или каким-либо другим сторонним пакетом является то, что он передает аспект безопасности аутентификации в руки компаний с большим опытом и большими ресурсами для его обработки, чем у большинства небольших организаций. Они, как правило, лучше защищают свои серверы и данные. Как сотрудник небольшого магазина, я, безусловно, доверяю Google больше, чем себе, в правильной настройке серверов, брандмауэров и т. Д., Необходимых для защиты этих данных.

Однако OpenID так же уязвим для самого опасного аспекта - пользователей, выбирающих слабые учетные данные.

OpenID - это способ делегировать аутентификацию третьей стороне. Для такого приложения с высоким уровнем доверия, как банковское дело, то, кому вы делегируете аутентификацию, является важным и важным решением безопасности. Протокола openID в его нынешнем виде достаточно для любого стандарта, который разрешает либо однофакторную аутентификацию (токен аутентификации openID), либо делегированную аутентификацию системе, которая имеет достаточные меры безопасности.

Следующий вопрос: Достаточно ли безопасны какие-либо существующие провайдеры openID для онлайн-банкинга?

Это другой вопрос, и, вероятно, сейчас он отрицательный. Однако нет ничего (технического), препятствующего, скажем, консорциуму американских банков, объединяющему ресурсы для создания единого поставщика банковских услуг openID, который следует установленному стандарту и проходит аудит. Этот провайдер openID может использовать любые методы проверки подлинности, которые ему нужны, будь то SiteKey, SecureID, считывание смарт-карты или любые другие требуемые методы. Я считаю такую ​​возможность маловероятной для крупных коммерческих банков, но сообщество кредитных союзов может просто попробовать.

OpenID настолько же безопасен, насколько и самый слабый из (1) сайта, на который вы пытаетесь войти; (2) ваш провайдер OpenID; или (3) система DNS.

Рекомендация:

  • Используйте рекомендованную вашим банком систему безопасности / входа в систему и ознакомьтесь с условиями обслуживания, чтобы знать свои права в случае взлома вашей учетной записи.
  • Не поощряйте ваш банк использовать OpenID, так как это снизит безопасность их услуг.

Слабые стороны:

Непосредственным следствием этого факта является то, что OpenID может в лучшем случае быть таким же безопасным, как и сайт, на который вы пытаетесь войти; это никогда не может быть Больше безопасный.

В протоколе OpenID перенаправление к вашему провайдеру находится под контролем сайта, на который вы входите, что приводит к банальному фишингу и атакам типа «злоумышленник в середине». Такие атаки позволят враждебному сайту украсть ваши учетные данные OpenID. без вашего ведома, который они могут затем использовать позже для входа на любой другой сайт с поддержкой OpenID, как и вы.

Атаки DNS более сложны, но они позволяют злоумышленнику убедить ваш банк, что он является вашим провайдером OpenID. Злоумышленник входит в систему, используя ваш OpenID, и его поддельный провайдер дает авторизацию банку. В этом случае злоумышленнику не нужно фишинговать вас, узнавать ваш пароль или устанавливать что-либо на ваш компьютер - ему нужен только ваш OpenID.

Точно так же атака на вашего провайдера OpenID позволит злоумышленнику войти в систему как вы на любом сайте с поддержкой OpenID, не зная вашего пароля.

Подробнее о слабостях и атаках OpenID см. http://www.untrusted.ca/cache/openid.html .

OpenID - это протокол. Протокол очень безопасен, однако метод backend-auth не обязателен. Вы можете запустить портал OpenId, который будет проверять пользователя из окна DOS через telnet в Бангладеш.

Достаточно ли это безопасно для банковских операций? Да. На самом деле я хочу, чтобы все банковские провайдеры разрешили это. Кроме того, если вы хотите доверять поставщикам банковских услуг больше, чем другим поставщикам технологий - было бы хорошо, если бы они предоставлять Это?