รหัสเปิดปลอดภัยหรือไม่?


9

รหัสเปิดปลอดภัยหรือไม่ตัวอย่างเช่นคุณสามารถใช้เพื่อเข้าสู่บัญชีธนาคารได้หรือไม่


1
ใช่ 2.0 มีความปลอดภัยมาก ไปอ่านen.wikipedia.org/wiki/OpenID "OpenID ไม่ได้ให้รูปแบบการตรวจสอบสิทธิ์ของตัวเอง แต่ถ้าผู้ให้บริการข้อมูลประจำตัวใช้การรับรองความถูกต้องที่แข็งแกร่งสามารถใช้ OpenID สำหรับการทำธุรกรรมที่ปลอดภัยเช่นธนาคารและอีคอมเมิร์ซ"
Evan Carroll

1
ใช่ฉันคิดว่าคำถามจริงคือ ... ผู้ให้บริการ OpenID ของคุณปลอดภัยหรือไม่
Andor

คำตอบ:


8

OpenID มีความปลอดภัยเท่ากับผู้ให้บริการ OpenID (เช่น "ถ้ามีคนบุกเข้าไปในบัญชี Myspace ของคุณพวกเขาสามารถเข้าถึง OpenID และทุกอย่างที่ใช้")

โดยส่วนตัวแล้วฉันจะไม่ไว้ใจสิ่งใดที่มีค่า ผู้ให้บริการ OpenID ส่วนใหญ่มีประวัติการรักษาความปลอดภัยที่น่ากลัว


1
ฉันคิดว่าคุณสามารถมองเห็นข้อดีของ OpenID และเขียนมันออกมาได้อย่างสะดวกสบาย
Evan Carroll

3
@Evan: OpenID มีข้อดีมากมาย - จริง ๆ แล้วฉันใช้ OpenID สำหรับไซต์ไตรภาคดังนั้น ไม่มีข้อได้เปรียบใด ๆ เลยที่ทำให้เกิดความกังวลด้านความปลอดภัยและแน่นอนว่าฉันจะไม่เชื่อถือความปลอดภัยของผู้ให้บริการ OpenID กับข้อมูลบัญชีธนาคารของฉัน :-)
voretaq7

2
แน่นอนว่าพวกเขาทำอย่างไรเกี่ยวกับการลดข้อความของคุณOpenID is as secure as the OpenID providerไปที่X is as secure as the X provider: ในกรณีนี้คุณไม่ได้ระบุอะไรเลย ในขณะที่คำสั่งของคุณเป็นจริงมันเป็นบ้า: ฉันคิดว่าทุกคนที่มีความรู้พอที่จะตั้งค่าและบำรุงรักษา OpenID อาจเป็นอย่างน้อยมีคุณสมบัติเป็นธนาคารในบุญที่หนึ่งขายโซลูชันทางเทคนิคในขณะที่อีกคนขายการเงิน . ใช่ฉันเชื่อว่า Google / Yahoo / Verisign มากกว่าที่ฉันไว้ใจ Washington Mutual
Evan Carroll

3
@Evan - บริการใด ๆ ก็ตามจะต้องมีความปลอดภัยเท่ากับผู้ให้บริการเท่านั้น ความคิดเห็นของฉันคือ OpenID ในขณะที่โปรโตคอลที่มีค่าไม่ได้รับประกันโครงสร้างที่เพียงพอเกี่ยวกับความปลอดภัยของผู้ให้บริการสำหรับฉันที่จะไว้วางใจสำหรับการตรวจสอบที่สำคัญ คุณไม่เห็นด้วยกับการประเมินของฉัน แต่ฉันยืนอยู่ข้างหลังสิ่งที่ฉันพูด
voretaq7

3
@Evan ดูเหมือนว่าคุณจะมีความหลงใหลในเรื่องนี้มากถึงแม้จะเป็นประเด็นที่ถูกครอบงำก็ตาม บางทีคุณอาจจำเป็นต้องย้อนกลับไปดูอีกครั้ง ความจริงที่ว่าคุณเชื่อถือ OpenID นั้นไม่ได้ทำให้ปลอดภัย เราไม่ใช่คนแรกที่ไม่ไว้ใจมันและแน่นอนจะไม่ใช่คนสุดท้าย สำหรับปัจจัยด้านความสะดวกนั้นไม่ใช่หัวข้อของคำถาม
John Gardeniers

5

ในขณะที่ฉันเห็นด้วยกับ voretaq7 ว่า OpenID นั้นปลอดภัยพอ ๆ กับผู้ให้บริการ OpenID แต่ฉันต้องบอกว่าเมื่อเลือกผู้ให้บริการ OpenID ที่จะใช้ต้องระมัดระวังเป็นพิเศษเพื่อให้แน่ใจว่าคุณกำลังใช้ผู้ให้บริการที่มีชื่อเสียง แนวคิดเดียวกันนี้ใช้กับทุกสิ่งที่เกี่ยวข้องกับความปลอดภัย Google, AOL และฉันคิดว่าแม้ Verisign จะเสนอ OpenID และ บริษัท / ผู้ให้บริการเหล่านี้ก็มีประวัติที่ดี

หนึ่งในข้อดีที่สำคัญของ OpenID ในเรื่องความปลอดภัยที่เพิ่มขึ้นในบ้านหรือแพ็คเกจของบุคคลที่สามก็คือมันทำให้การตรวจสอบด้านความปลอดภัยในมือของ บริษัท ที่มีประสบการณ์มากขึ้นและทรัพยากรมากกว่าที่จะจัดการกับมัน พวกเขามักจะมีความสามารถที่ดีกว่าในการปกป้องเซิร์ฟเวอร์และข้อมูลของพวกเขา ในฐานะพนักงานของร้านค้าเล็ก ๆ ฉันเชื่อมั่นในตัว Google มากกว่าตัวเองในการกำหนดค่าเซิร์ฟเวอร์ไฟร์วอลล์และอื่น ๆ ที่จำเป็นในการปกป้องข้อมูลนี้อย่างถูกต้อง

อย่างไรก็ตาม OpenID นั้นมีความเสี่ยงที่จะเป็นอันตรายที่สุดของผู้ใช้ที่เลือกข้อมูลประจำตัวที่อ่อนแอ


1
Google, Verisign และอื่น ๆ อาจให้บริการ "OpenIDs ที่ปลอดภัย" แต่ใคร ๆก็สามารถเป็นผู้ให้บริการ OpenID ได้และแนวคิดทั้งหมดของ OpenID (เท่าที่ฉันเข้าใจ) คือการยอมรับ OpenID ที่ถูกต้องจากผู้ให้บริการใด ๆ เพื่อตั้งค่าบัญชีที่แตกต่างกันมากมาย บางคนเลือกผู้ให้บริการ OpenID ที่ไม่ปลอดภัย (หรือผู้ที่กู้คืนรหัสผ่านที่ไม่ปลอดภัย) อาจเป็นอันตรายเกือบเท่ากับผู้ใช้ที่ใช้abc123เป็นรหัสผ่าน ...
voretaq7

2
ดูเหมือนว่าบุคคลอันตรายเพียงรายเดียวเท่านั้นที่เป็นผู้ใช้ พวกเขาคือคนที่เลือกว่ารหัสผ่านคืออะไรถ้าพวกเขาใช้ OpenID และควรเป็นใคร มันเป็นความรับผิดชอบของเราที่จะปกป้องพวกเขาจากตัวของพวกเขาเอง?
Chris

2
หากคุณใช้บริการที่ยอมรับ OpenID สำหรับการตรวจสอบสิทธิ์คุณสามารถทำบัญชีดำกับผู้ให้บริการที่ไม่น่าเชื่อถือหรือบัญชีขาวที่รู้จักกันดี ด้วยวิธีนี้คุณสามารถหลีกเลี่ยงผู้ให้บริการที่อนุญาตให้ผู้ใช้ตั้งรหัสผ่านที่ไม่ปลอดภัย
GAThrawn

1
@Chris: ตราบใดที่เราต้องยืนต่อหน้าพายุโทษเมื่อบัญชีถูกบุกรุกใช่ - อย่างน้อยก็บางส่วน (นั่นคือสาเหตุที่บางเว็บไซต์มีนโยบายรหัสผ่านเช่น "> = 8 ตัวอักษร, ตัวอักษรและตัวเลข + อย่างน้อย 1 ตัวอักษรพิเศษ")
voretaq7

@ voretaq7: ทุกคนสามารถเป็นธนาคารได้เช่นกัน
Evan Carroll

5

OpenID เป็นวิธีการมอบหมายการรับรองความถูกต้องให้กับบุคคลที่สาม สำหรับแอปพลิเคชันที่เชื่อถือได้สูงเช่นการธนาคารผู้ซึ่งคุณมอบหมายการรับรองความถูกต้องให้กับเป็นการตัดสินใจด้านความปลอดภัยที่สำคัญ โปรโตคอล openID นั้นเพียงพอสำหรับมาตรฐานใด ๆ ที่อนุญาตการพิสูจน์ตัวตนแบบปัจจัยเดียว (openID auth-token) หรือการรับรองความถูกต้องที่ได้รับมอบอำนาจให้กับระบบที่มีการป้องกันการพิสูจน์ตัวตนที่เพียงพอ

คำถามต่อไป: ผู้ให้บริการ openID ปัจจุบันปลอดภัยเพียงพอสำหรับการธนาคารออนไลน์หรือไม่?

นั่นเป็นคำถามที่แตกต่างและน่าจะเป็นลบในตอนนี้ อย่างไรก็ตามไม่มีสิ่งใด (ทางเทคนิค) ที่จะหยุดพูดกลุ่มของธนาคารอเมริกันที่รวมทรัพยากรเพื่อสร้างผู้ให้บริการ openID ของธนาคารรายเดียวที่เป็นไปตามมาตรฐานที่ระบุไว้และได้รับการตรวจสอบแล้ว ผู้ให้บริการ openID นั้นสามารถใช้วิธีการรับรองความถูกต้องแบบใดก็ได้ไม่ว่าจะเป็น SiteKey, SecureID, การรูดบัตรสมาร์ทการ์ดหรืออะไรก็ตามที่ต้องการ ฉันพิจารณาความเป็นไปได้นี้ไม่น่าจะเกิดขึ้นกับธนาคารพาณิชย์รายใหญ่ แต่ชุมชนเครดิตยูเนี่ยอาจลอง


1
ฉันจะพิจารณา VeriSign PIP และ MyOpenID อาจมีความปลอดภัยเพียงพอสำหรับการธนาคาร
1686

2

OpenID นั้นปลอดภัยพอ ๆ กับจุดอ่อนของ (1) ไซต์ที่คุณพยายามเข้าสู่ระบบ (2) ผู้ให้บริการ OpenID ของคุณ หรือ (3) ระบบ DNS

คำแนะนำ:

  • ใช้ระบบความปลอดภัย / การเข้าสู่ระบบที่ธนาคารแนะนำและเข้าใจข้อกำหนดและเงื่อนไขการให้บริการเพื่อให้คุณทราบถึงสิทธิ์ของคุณหากบัญชีของคุณถูกบุกรุก
  • อย่าสนับสนุนให้ธนาคารของคุณใช้ OpenID เนื่องจากจะลดความปลอดภัยของบริการ

จุดอ่อน:

ผลที่ตามมาทันทีความจริงนี้ก็คือว่า OpenID สามารถที่ดีที่สุดจะเป็นความปลอดภัยเป็นเว็บไซต์ที่คุณกำลังพยายามที่จะเข้าสู่ระบบ; มันจะไม่มีความปลอดภัยมากขึ้น

ในการเปลี่ยนเส้นทางโปรโตคอล OpenID ไปยังผู้ให้บริการของคุณอยู่ภายใต้การควบคุมของไซต์ที่คุณกำลังลงชื่อเข้าใช้ซึ่งนำไปสู่การหลอกลวงแบบฟิชชิงและการโจมตีแบบคนกลางคน การโจมตีดังกล่าวจะช่วยให้ไซต์ที่เป็นโฮสต์สามารถขโมยข้อมูลรับรอง OpenID ของคุณได้โดยที่คุณไม่สามารถทราบได้ซึ่งพวกเขาสามารถใช้ในภายหลังเพื่อเข้าสู่ไซต์อื่น ๆ ที่เปิดใช้งาน OpenID ได้เช่นเดียวกับคุณ

การโจมตี DNS นั้นซับซ้อนกว่า แต่จะทำให้ผู้โจมตีสามารถโน้มน้าวธนาคารของคุณว่าเขาเป็นผู้ให้บริการ OpenID ของคุณ ผู้โจมตีเข้าสู่ระบบโดยใช้ OpenID ของคุณและให้ผู้ให้บริการปลอมของเขาอนุญาตให้ธนาคาร ในกรณีนี้ผู้โจมตีไม่จำเป็นต้องทำลายคุณหรือเรียนรู้รหัสผ่านของคุณหรือติดตั้งอะไรบนคอมพิวเตอร์ของคุณสิ่งที่เขาต้องการก็คือ OpenID ของคุณ

ในทำนองเดียวกันการโจมตีผู้ให้บริการ OpenID ของคุณจะช่วยให้ผู้โจมตีเข้าสู่ระบบในขณะที่คุณอยู่ในไซต์ที่เปิดใช้งาน OpenID ใด ๆ โดยไม่ทราบรหัสผ่านของคุณ

ข้อมูลเพิ่มเติมเกี่ยวกับจุดอ่อน OpenID และการโจมตีที่http://www.untrusted.ca/cache/openid.html


1

OpenID เป็นโปรโตคอล โปรโตคอลมีความปลอดภัยมากอย่างไรก็ตามวิธีแบ็กเอนด์ - รับรองความถูกต้องไม่จำเป็นต้องเป็น คุณสามารถเรียกใช้พอร์ทัล OpenId ที่จะตรวจสอบผู้ใช้จากกล่อง dos ผ่าน telnet ในบังคลาเทศ

มันปลอดภัยเพียงพอสำหรับการธนาคารหรือไม่? ใช่. ในความเป็นจริงฉันหวังว่าผู้ให้บริการธนาคารทุกรายจะอนุญาต นอกจากนี้ถ้าคุณต้องการที่จะให้บริการด้านการธนาคารความไว้วางใจมากกว่าผู้ให้บริการเทคโนโลยีอื่น ๆ - มันจะไม่ดีถ้าพวกเขาจะให้มันได้หรือไม่


1
เพียงเพราะธนาคารได้รับความไว้วางใจจากเงินของคุณนั่นทำให้พวกเขามีคุณสมบัติที่จะจัดการกับตัวตนดิจิทัลหรือไม่?
Chris

1
@chris: ไม่มันไม่ได้ แต่ดูเหมือนจะเป็นแนวโน้มสำหรับเธรดนี้ ฉันต้องการให้ธนาคารดำเนินการจัดการเงินและใช้ google เพื่อจัดการการตรวจสอบสิทธิ์ ประเด็นก็คือไม่สำคัญว่าคุณจะเชื่อถือใครคนอื่นนอกเหนือจากธนาคารหรือธนาคาร: ถ้าทุกธนาคารเป็นผู้ให้บริการแบบเปิดและผู้บริโภคคุณสามารถใช้การรับรองความถูกต้องของพวกเขาบน google หรือ google ในธนาคาร - OpenID เป็นเพียง โปรโตคอลที่อนุญาตให้พวกเขาสื่อสาร
Evan Carroll
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.