รหัสเปิดปลอดภัยหรือไม่ตัวอย่างเช่นคุณสามารถใช้เพื่อเข้าสู่บัญชีธนาคารได้หรือไม่
รหัสเปิดปลอดภัยหรือไม่ตัวอย่างเช่นคุณสามารถใช้เพื่อเข้าสู่บัญชีธนาคารได้หรือไม่
คำตอบ:
OpenID มีความปลอดภัยเท่ากับผู้ให้บริการ OpenID (เช่น "ถ้ามีคนบุกเข้าไปในบัญชี Myspace ของคุณพวกเขาสามารถเข้าถึง OpenID และทุกอย่างที่ใช้")
โดยส่วนตัวแล้วฉันจะไม่ไว้ใจสิ่งใดที่มีค่า ผู้ให้บริการ OpenID ส่วนใหญ่มีประวัติการรักษาความปลอดภัยที่น่ากลัว
OpenID is as secure as the OpenID provider
ไปที่X is as secure as the X provider
: ในกรณีนี้คุณไม่ได้ระบุอะไรเลย ในขณะที่คำสั่งของคุณเป็นจริงมันเป็นบ้า: ฉันคิดว่าทุกคนที่มีความรู้พอที่จะตั้งค่าและบำรุงรักษา OpenID อาจเป็นอย่างน้อยมีคุณสมบัติเป็นธนาคารในบุญที่หนึ่งขายโซลูชันทางเทคนิคในขณะที่อีกคนขายการเงิน . ใช่ฉันเชื่อว่า Google / Yahoo / Verisign มากกว่าที่ฉันไว้ใจ Washington Mutual
ในขณะที่ฉันเห็นด้วยกับ voretaq7 ว่า OpenID นั้นปลอดภัยพอ ๆ กับผู้ให้บริการ OpenID แต่ฉันต้องบอกว่าเมื่อเลือกผู้ให้บริการ OpenID ที่จะใช้ต้องระมัดระวังเป็นพิเศษเพื่อให้แน่ใจว่าคุณกำลังใช้ผู้ให้บริการที่มีชื่อเสียง แนวคิดเดียวกันนี้ใช้กับทุกสิ่งที่เกี่ยวข้องกับความปลอดภัย Google, AOL และฉันคิดว่าแม้ Verisign จะเสนอ OpenID และ บริษัท / ผู้ให้บริการเหล่านี้ก็มีประวัติที่ดี
หนึ่งในข้อดีที่สำคัญของ OpenID ในเรื่องความปลอดภัยที่เพิ่มขึ้นในบ้านหรือแพ็คเกจของบุคคลที่สามก็คือมันทำให้การตรวจสอบด้านความปลอดภัยในมือของ บริษัท ที่มีประสบการณ์มากขึ้นและทรัพยากรมากกว่าที่จะจัดการกับมัน พวกเขามักจะมีความสามารถที่ดีกว่าในการปกป้องเซิร์ฟเวอร์และข้อมูลของพวกเขา ในฐานะพนักงานของร้านค้าเล็ก ๆ ฉันเชื่อมั่นในตัว Google มากกว่าตัวเองในการกำหนดค่าเซิร์ฟเวอร์ไฟร์วอลล์และอื่น ๆ ที่จำเป็นในการปกป้องข้อมูลนี้อย่างถูกต้อง
อย่างไรก็ตาม OpenID นั้นมีความเสี่ยงที่จะเป็นอันตรายที่สุดของผู้ใช้ที่เลือกข้อมูลประจำตัวที่อ่อนแอ
abc123
เป็นรหัสผ่าน ...
OpenID เป็นวิธีการมอบหมายการรับรองความถูกต้องให้กับบุคคลที่สาม สำหรับแอปพลิเคชันที่เชื่อถือได้สูงเช่นการธนาคารผู้ซึ่งคุณมอบหมายการรับรองความถูกต้องให้กับเป็นการตัดสินใจด้านความปลอดภัยที่สำคัญ โปรโตคอล openID นั้นเพียงพอสำหรับมาตรฐานใด ๆ ที่อนุญาตการพิสูจน์ตัวตนแบบปัจจัยเดียว (openID auth-token) หรือการรับรองความถูกต้องที่ได้รับมอบอำนาจให้กับระบบที่มีการป้องกันการพิสูจน์ตัวตนที่เพียงพอ
คำถามต่อไป: ผู้ให้บริการ openID ปัจจุบันปลอดภัยเพียงพอสำหรับการธนาคารออนไลน์หรือไม่?
นั่นเป็นคำถามที่แตกต่างและน่าจะเป็นลบในตอนนี้ อย่างไรก็ตามไม่มีสิ่งใด (ทางเทคนิค) ที่จะหยุดพูดกลุ่มของธนาคารอเมริกันที่รวมทรัพยากรเพื่อสร้างผู้ให้บริการ openID ของธนาคารรายเดียวที่เป็นไปตามมาตรฐานที่ระบุไว้และได้รับการตรวจสอบแล้ว ผู้ให้บริการ openID นั้นสามารถใช้วิธีการรับรองความถูกต้องแบบใดก็ได้ไม่ว่าจะเป็น SiteKey, SecureID, การรูดบัตรสมาร์ทการ์ดหรืออะไรก็ตามที่ต้องการ ฉันพิจารณาความเป็นไปได้นี้ไม่น่าจะเกิดขึ้นกับธนาคารพาณิชย์รายใหญ่ แต่ชุมชนเครดิตยูเนี่ยอาจลอง
OpenID นั้นปลอดภัยพอ ๆ กับจุดอ่อนของ (1) ไซต์ที่คุณพยายามเข้าสู่ระบบ (2) ผู้ให้บริการ OpenID ของคุณ หรือ (3) ระบบ DNS
คำแนะนำ:
จุดอ่อน:
ผลที่ตามมาทันทีความจริงนี้ก็คือว่า OpenID สามารถที่ดีที่สุดจะเป็นความปลอดภัยเป็นเว็บไซต์ที่คุณกำลังพยายามที่จะเข้าสู่ระบบ; มันจะไม่มีความปลอดภัยมากขึ้น
ในการเปลี่ยนเส้นทางโปรโตคอล OpenID ไปยังผู้ให้บริการของคุณอยู่ภายใต้การควบคุมของไซต์ที่คุณกำลังลงชื่อเข้าใช้ซึ่งนำไปสู่การหลอกลวงแบบฟิชชิงและการโจมตีแบบคนกลางคน การโจมตีดังกล่าวจะช่วยให้ไซต์ที่เป็นโฮสต์สามารถขโมยข้อมูลรับรอง OpenID ของคุณได้โดยที่คุณไม่สามารถทราบได้ซึ่งพวกเขาสามารถใช้ในภายหลังเพื่อเข้าสู่ไซต์อื่น ๆ ที่เปิดใช้งาน OpenID ได้เช่นเดียวกับคุณ
การโจมตี DNS นั้นซับซ้อนกว่า แต่จะทำให้ผู้โจมตีสามารถโน้มน้าวธนาคารของคุณว่าเขาเป็นผู้ให้บริการ OpenID ของคุณ ผู้โจมตีเข้าสู่ระบบโดยใช้ OpenID ของคุณและให้ผู้ให้บริการปลอมของเขาอนุญาตให้ธนาคาร ในกรณีนี้ผู้โจมตีไม่จำเป็นต้องทำลายคุณหรือเรียนรู้รหัสผ่านของคุณหรือติดตั้งอะไรบนคอมพิวเตอร์ของคุณสิ่งที่เขาต้องการก็คือ OpenID ของคุณ
ในทำนองเดียวกันการโจมตีผู้ให้บริการ OpenID ของคุณจะช่วยให้ผู้โจมตีเข้าสู่ระบบในขณะที่คุณอยู่ในไซต์ที่เปิดใช้งาน OpenID ใด ๆ โดยไม่ทราบรหัสผ่านของคุณ
ข้อมูลเพิ่มเติมเกี่ยวกับจุดอ่อน OpenID และการโจมตีที่http://www.untrusted.ca/cache/openid.html
OpenID เป็นโปรโตคอล โปรโตคอลมีความปลอดภัยมากอย่างไรก็ตามวิธีแบ็กเอนด์ - รับรองความถูกต้องไม่จำเป็นต้องเป็น คุณสามารถเรียกใช้พอร์ทัล OpenId ที่จะตรวจสอบผู้ใช้จากกล่อง dos ผ่าน telnet ในบังคลาเทศ
มันปลอดภัยเพียงพอสำหรับการธนาคารหรือไม่? ใช่. ในความเป็นจริงฉันหวังว่าผู้ให้บริการธนาคารทุกรายจะอนุญาต นอกจากนี้ถ้าคุณต้องการที่จะให้บริการด้านการธนาคารความไว้วางใจมากกว่าผู้ให้บริการเทคโนโลยีอื่น ๆ - มันจะไม่ดีถ้าพวกเขาจะให้มันได้หรือไม่