Безопасен ли открытый идентификатор?

Безопасен ли открытый идентификатор, например, вы можете использовать его для входа на банковские счета?

OpenID так же безопасен, как и поставщик OpenID (т. Е. «Если кто-то взломает вашу учетную запись Myspace, он получит доступ к вашему OpenID и всему, что его использует»).

Лично я бы не стал доверять этому что-либо ценное. Большинство провайдеров OpenID имеют довольно отвратительный послужной список безопасности.

Хотя я согласен с voretaq7 в том, что OpenID является настолько же безопасным, что и поставщик OpenID, я должен сказать, что при выборе поставщика OpenID следует позаботиться о том, чтобы использовать надежного поставщика. Эта же идея относится ко всему, что связано с безопасностью. Google, AOL и я думаю, что даже Verisign теперь предлагает OpenID, и эти компании / провайдеры имеют хороший послужной список.

Одним из основных преимуществ OpenID по сравнению с домашней системой безопасности или каким-либо другим сторонним пакетом является то, что он предоставляет аспект аутентификации безопасности в руки компаний, обладающих большим опытом и большими ресурсами для его обработки, чем большинство небольших компаний. Они, как правило, лучше защищают свои серверы и данные. Будучи сотрудником небольшого магазина, я, безусловно, доверял бы Google больше, чем себе, чтобы правильно настроить серверы, брандмауэры и т. Д., Необходимые для защиты этих данных.

Однако OpenID так же уязвим для самого опасного аспекта - пользователей, которые выбирают слабые учетные данные.

OpenID - это способ делегировать аутентификацию третьей стороне. Для приложения с высоким уровнем доверия, такого как банковское дело, которому вы делегируете аутентификацию, является важным решением безопасности. Протокол openID в его нынешнем виде достаточен для любого стандарта, который разрешает либо однофакторную аутентификацию (токен openID), либо делегированную аутентификацию системе, которая имеет достаточные гарантии аутентификации.

Следующий вопрос: достаточно ли безопасны текущие провайдеры openID для онлайн-банкинга?

Это другой вопрос, и, вероятно, сейчас он отрицательный. Однако ничто (техническое) не остановит, скажем, консорциум американских банков, объединивших ресурсы для создания единого банковского провайдера openID, который следует установленному стандарту и подвергается аудиту. Этот провайдер openID может использовать любые методы аутентификации, которые ему нужны, будь то SiteKey, SecureID, считывание смарт-карт или что-то еще. Я считаю такую ​​возможность маловероятной для крупных коммерческих банков, но сообщество Кредитного Союза может просто попробовать это.

OpenID так же безопасен, как и самый слабый из (1) сайта, на который вы пытаетесь войти; (2) ваш поставщик OpenID; или (3) система DNS.

Рекомендация:

• Используйте рекомендованную банком систему безопасности / входа в систему и понимайте условия обслуживания, чтобы вы знали свои права, если ваша учетная запись взломана.
• Не поощряйте ваш банк принимать OpenID, так как это снизит безопасность их обслуживания.

Недостатки:

Непосредственным следствием этого факта является то, что OpenID в лучшем случае может быть таким же безопасным, как и сайт, на который вы пытаетесь войти; это никогда не может быть более безопасным.

В протоколе OpenID перенаправление на вашего провайдера находится под контролем сайта, на который вы входите, что приводит к банальным фишинговым атакам и атакам типа «человек посередине». Такие атаки позволят враждебному сайту украсть ваши учетные данные OpenID без вашего ведома , которые они затем смогут использовать для входа на любой другой сайт с поддержкой OpenID, как вы.

Атаки DNS более сложны, но позволят злоумышленнику убедить ваш банк, что он ваш поставщик OpenID. Злоумышленник входит в систему, используя ваш OpenID, и его поддельный провайдер дает разрешение банку. В этом случае злоумышленнику не нужно фишировать вас, изучать ваш пароль или устанавливать что-либо на ваш компьютер - все, что ему нужно, это ваш OpenID.

Аналогичным образом атака на вашего поставщика OpenID позволит злоумышленнику войти в систему, как и вы, на любом сайте с поддержкой OpenID, не зная вашего пароля.

Дополнительную информацию о недостатках и атаках OpenID можно найти по адресу http://www.untrusted.ca/cache/openid.html .

OpenID - это протокол. Протокол очень безопасен, однако метод backend-auth не обязателен. Вы можете запустить портал OpenId, который будет проверять пользователя из коробки с надписью «Телнет» в Бангладеш.

Это достаточно безопасно для банковского дела? Да. На самом деле я бы хотел, чтобы все банковские провайдеры разрешили это. Кроме того, если вы хотите доверять банковским провайдерам больше, чем другим провайдерам технологий, не было бы неплохо, если бы они предоставили это?