Вопросы Теги

Открытый идентификатор безопасен?

StorageReview.com хранит уровни надежности для сотен дисков. Можно просмотреть производителем и видеть, какие диски, как сообщали, были надежными или склонными к отказу. Данные являются главным образом отправленным пользователем (возможно, даже коллегами SF) с 52 900 записями до настоящего времени. По крайней мере, Вы получаете числа:

Обзор StorageReview

Регистрация является бесплатной, и необходимо ввести по крайней мере один результат диска, но Вы добираетесь для просмотра всей базы данных.

Править: Относительно Google они использовали Hitachi Deskstars в одном из их Дата-центров однажды: сопроводительный текст Любезность http://www.hyperslug.com/image/photo/GoogleServerLarge.jpg CNET

9
задан 9 February 2010 в 17:45
5 ответов

OpenID так же безопасен как поставщик OpenID (т.е., "Если кто-то врывается в Вашу учетную запись MySpace, у них есть доступ к Вашему OpenID и всему, что использует его").

Лично я не доверил бы ему ничего ценного. У большинства поставщиков OpenID есть довольно паршивый послужной список безопасности.

8
ответ дан 2 December 2019 в 22:22
  • 1
    Я думаю you' ре, пропускающее преимущества OpenID и списывающее их как простое удобство. –  Evan Carroll 9 February 2010 в 19:04
  • 2
    @Evan: OpenID имеет много преимуществ - на самом деле я использую OpenID для ТАК сайты трилогии. Ни одно из преимуществ не инвертирует мои проблемы безопасности однако и меня, конечно, wouldn' t доверяют моему OpenID provider' s безопасность с моей информацией о банковском счете :-) –  voretaq7 9 February 2010 в 19:15
  • 3
    Уверенный они делают, как насчет того, чтобы уменьшить Ваш оператор OpenID is as secure as the OpenID provider, к X is as secure as the X provider: в этом случае you' ре, не указывая ничего вообще. В то время как Ваш оператор верен, это глупо: Я думаю, что любой со знанием достаточно, чтобы настроить и поддержать OpenID, вероятно, по крайней мере, столь же квалифицирован как банк на заслуге, что каждый продает техническое решение, в то время как другой продает финансовый. Да, я доверяю Google/Yahoo/Verisign намного больше, чем я доверяю Washington Mutual –  Evan Carroll 9 February 2010 в 21:32
  • 4
    @Evan - Любой сервис по определению только столь же безопасен как поставщик. Мое мнение - то, что OpenID, в то время как ценный протокол, не предлагает достаточных структурных гарантий относительно безопасности его поставщиков для меня для доверия ему для критической аутентификации. You' ре, свободное не соглашаться с моей оценкой, но я поддерживаю что I' ve сказан. –  voretaq7 9 February 2010 в 21:42
  • 5
    @Evan, Вы, кажется, довольно увлечены этим предметом, даже на грани того, чтобы быть одержимым. Возможно, необходимо предпринять шаги назад и иметь другой взгляд. То, что ВЫ доверяете OpenID doesn' t заставляют его защитить. Мы не являемся первыми для недоверия ему и конечно won' t быть последним. Что касается фактора удобства, that' s не тема вопроса. –  John Gardeniers 9 February 2010 в 22:13

В то время как я соглашаюсь с voretaq7, что OpenID только так же безопасен как поставщик OpenID, я должен был бы сказать, что при выборе поставщика OpenID для использования заботьтесь, должен быть взят, чтобы гарантировать, что Вы используете уважаемого поставщика. Эта та же идея относится ко всему имеющему отношение к безопасности. Google, AOL, и я думаю, что даже Verisign теперь предлагают OpenIDs и эти компании / у поставщиков действительно есть хороший послужной список.

Одно из главных преимуществ OpenID по безопасности собственной разработки или некоторому другому стороннему пакету - то, что это помещает аспект аутентификации безопасности в руках компаний с большим опытом и большим количеством ресурсов для обработки его, чем большинство меньших объектов имеет. Они имеют тенденцию иметь лучшую способность защитить их серверы и данные. Как сотрудник небольшого магазина, я, конечно, доверял бы Google больше, чем я для корректного конфигурирования серверов, брандмауэров, и т.д. необходимых для защиты этих данных.

Однако OpenID так же уязвим для самого опасного аспекта всех - пользователи, которые выбирают слабые учетные данные.

5
ответ дан 2 December 2019 в 22:22
  • 1
    Google, Verisign, и т.д. вероятно, обеспечивает " обоснованно secure" OpenIDs, но любой может быть поставщиком OpenID, и целое понятие OpenID (насколько я понимаю) состоит в том, чтобы принять допустимый OpenID от любого поставщика так люди don' t должны настроить набор различных учетных записей. Кто-то выбирающий небезопасного поставщика OpenID (или один с небезопасным восстановлением пароля) мог быть почти столь же опасные как пользователи, которые используют abc123 в качестве их паролей... –  voretaq7 9 February 2010 в 19:25
  • 2
    Казалось бы, что единственный опасный человек вокруг является пользователем. Они - те, кто выбирает, каков пароль, если они используют OpenID и кем это должно быть. Это должна быть наша обязанность защитить их от себя? –  Chris 9 February 2010 в 19:36
  • 3
    Если you' ре, выполняющее сервис, который принимает OpenIDs для аутентификации, Вы могли легко поместить в черный список ненадежных поставщиков или добавить известных хороших поставщиков в белый список. Тем путем можно избежать поставщиков, которые позволяют пользователю устанавливать небезопасный пароль. –  GAThrawn 9 February 2010 в 19:41
  • 4
    @Chris: пока мы должны стоять перед штормом вины, когда учетная запись поставлена под угрозу, да - по крайней мере частично. (That' s, почему некоторые сайты имеют политики паролей как " > = 8 символов, алфавитно-цифровых + по крайней мере 1 специальный character"). –  voretaq7 9 February 2010 в 19:49
  • 5
    @voretaq7: любой может быть Банком также. –  Evan Carroll 9 February 2010 в 21:35

OpenID является способом делегировать аутентификацию третьему лицу. Для высокого доверительного приложения как банковское дело, к кому Вы делегируете аутентификацию, основное, основное решение безопасности. Открытый протокол как есть достаточно для любого стандарта, который разрешает любую одно-факторную аутентификацию (открытый подлинный маркер) или делегированную аутентификацию к системе, которая имеет достаточные гарантии аутентификации.

Следующий вопрос: какой-либо ток является открытыми поставщиками, достаточно безопасными для онлайна - банкинга?

Это - другой вопрос и вероятно отрицательно прямо сейчас. Однако нет ничего (технической) остановки, скажем, консорциум американских банков, объединяющих ресурсы для создания единственное банковское дело, открыл поставщика, который следует установленному стандарту и контролируется. Тот открытый поставщик может использовать любые методы аутентификации, в которых это нуждается, быть этим SiteKey, SecureID, сильный удар Смарт-карты, или независимо от того, что потребовано. Я рассматриваю эту возможность вряд ли для крупнейших коммерческих банков, но сообщество Кредитного союза могло бы просто попробовать ее.

5
ответ дан 2 December 2019 в 22:22
  • 1
    Я считал бы ЗЕРНЫШКО VeriSign и вероятно MyOpenID достаточно безопасными для банковского дела. –  grawity 9 February 2010 в 20:59

OpenID является протоколом. Протокол очень защищен, однако подлинный бэкендом метод не должен быть. Можно выполнить портал OpenId, который проверит пользователя от поля DOS по telnet в Бангладеш.

Это достаточно безопасно для банковского дела? Да. На самом деле я желаю, чтобы все банковские поставщики разрешили бы его. Кроме того, если бы Вы хотите доверять банковским поставщикам больше, чем другие технологические поставщики - разве не было бы хорошо, если они обеспечат его?

1
ответ дан 2 December 2019 в 22:22
  • 1
    Просто, потому что банку доверяют Ваши деньги, которые делают их квалифицированными для обработки цифровых идентификационных данных? –  Chris 9 February 2010 в 23:32
  • 2
    @chris: Нет, это doesn' t., но это, кажется, тенденция для этого потока. I' d скорее банки придерживаются обработки денег и используют Google для обработки моей аутентификации. Точка быть, это doesn' t имеют значение, кому Вы доверяете, кто-то другой, чем банк или банк: если бы каждый банк был открытым поставщиком и потребителем, то Вы могли бы использовать их аутентификацию на Google или google' s на берегу - OpenID является просто протоколом, чтобы разрешить им связываться. –  Evan Carroll 10 February 2010 в 19:05

OpenID так же безопасен как самый слабый из (1) сайта Вы пытаетесь войти в систему; (2) Вашего поставщика OpenID; или (3) системы DNS.

Рекомендация:

  • Используйте рекомендуемую систему безопасности/входа в систему своего банка и поймите положения и условия сервиса так, чтобы Вы знали свои права, если Ваша учетная запись поставлена под угрозу.
  • Не поощряйте свой банк принимать OpenID, поскольку это уменьшит безопасность их сервиса.

Слабые места:

Непосредственное следствие этого факта - то, что OpenID может в лучшем случае быть столь же безопасным как сайт, Вы пытаетесь войти в систему; это никогда не может быть более безопасно.

В перенаправлении протокола OpenID Вашему поставщику находится под контролем сайта, Вы входите в систему, который приводит к тривиальному фишингу и атакам "человек посередине". Такие нападения позволят враждебному сайту красть Ваши учетные данные OpenID без Вас знание, которое они могут затем использовать позже для вхождения в любой другой OpenID-поддерживающий сайт как Вы.

Нападения DNS более сложны, но позволят взломщику убеждать Ваш банк, что он - Ваш поставщик OpenID. Взломщик входит в систему с помощью OpenID и сделал, чтобы его поддельный поставщик дал авторизацию банку. В этом случае взломщик не нуждается к phish в Вас или изучает Ваш пароль или устанавливает что-либо на Вашем компьютере - все, в чем он нуждается, Ваш OpenID.

Так же нападение на Вашего поставщика OpenID позволит взломщику входить в систему как Вы на любом OpenID-поддерживающем сайте, не зная Вашего пароля.

Больше информации о слабых местах OpenID и нападениях по http://www.untrusted.ca/cache/openid.html.

2
ответ дан 2 December 2019 в 22:22

Теги

Похожие вопросы