OpenID นี้ง่ายต่อการแฮ็กหรือไม่


18

สำหรับบรรดากลุ่มผู้ใช้ (RP) ที่อนุญาตให้ผู้ใช้ระบุผู้ให้บริการ OpenID (OP) ดูเหมือนว่าสำหรับฉันมากกว่าใครก็ตามที่รู้หรือคาดเดา OpenID ของคุณ

  1. ป้อนที่อยู่ OP ของตนเอง
  2. มีการตรวจสอบพวกเขาเป็นเจ้าของ OpenID ของคุณ
  3. เข้าถึงบัญชีของคุณบน RP

RP "สามารถ" ใช้มาตรการเพื่อป้องกันปัญหานี้โดยอนุญาตให้ OpenID ตรวจสอบโดย OP ดั้งเดิมเท่านั้น แต่ ...

  1. คุณรู้ได้อย่างไรว่าพวกเขาทำ?
  2. คุณไม่สามารถเปลี่ยน OP ของคุณได้โดยไม่ต้องเปลี่ยน OpenID

คำตอบ:


7

OpenID เป็นหนึ่งในระบบเหล่านั้นที่คุณต้องเชื่อถือจุดสิ้นสุด หาก RP ไม่น่าเชื่อถือแสดงว่าการเชื่อมโยงเป็นพิษชนิดนี้เป็นไปได้ทั้งหมด ถ้า RP น่าเชื่อถือจริง ๆ การโจมตีแบบนี้จะยากขึ้น 'การทำงานรอบ ๆ ' เพื่อไม่เสี่ยงต่อการถูกโจมตีนี้คือการกำหนดหลักการความปลอดภัยภายในเครื่อง (บน ServerFault ซึ่งจะเป็นการแสดงชื่อผู้ใช้ของคุณในฐานข้อมูลส่วนหลัง) กับจุดสิ้นสุด OpenID ต่างประเทศ (OpenID URL, ServerFault ช่วยให้คุณสามารถเชื่อมโยงทวีคูณ ของเหล่านี้).

คุณยังคงสามารถโจมตีด้วยวิธีการโจมตี DNS ที่เป็นพิษในส่วนของ RP เช่นว่า * .livejournal.com จะถูกเปลี่ยนเส้นทางไปยัง OP ที่คุณสร้างขึ้นเป็นพิเศษสำหรับการโจมตี แต่นั่นเป็นการโจมตี DNS ที่เป็นพิษไม่ใช่ความผิดใน OpenID เอง OpenID นั้นเสี่ยงต่อการวางตัว DNS


ในกรณีนี้ RP ที่เชื่อถือได้อาจไม่น่าเชื่อถือเพราะพวกเขาคิดว่า OpenID นั้นปลอดภัยและอยู่ในตัวของมันเอง
David

หลังจากอ่านสิ่งนี้ฉันพบว่าตัวเองอยู่บน openid.net และสิ่งแรกที่ฉันเห็นคือข้อความพาดหัว "รากฐานของอินเทอร์เน็ตรหัสประจำตัว" บนฉากหลังของรูปถ่ายหุ้นสามมือที่เล่น Jenga - แต่ละชิ้นหยิบจากที่ไม่แน่นอน - มองหอคอย
Andreas

2

ฉันคิดว่าคุณสับสน OpenID และส่วนอื่น ๆ ของความปลอดภัยของผู้ใช้ OP ของคุณเป็นกลไกการพิสูจน์ตัวตนไม่ใช่บัญชีของคุณ ที่นี่ใน ServerFault คุณมีบัญชี บัญชีนั้นไม่มีวิธีการตรวจสอบด้วยตัวเอง ยกเว้นคุณชี้ไปที่ OPs หนึ่งตัวหรือมากกว่า

เมื่อคุณพยายามลงชื่อเข้าใช้บัญชีของคุณที่นี่เป็น SF ระบบจะขอให้ OP ของคุณจัดการกับการตรวจสอบสิทธิ์ มีเพียง OP เดียวเท่านั้น (หรือ OP หลาย ๆ ตัวที่คุณตั้งค่าไว้) สามารถรับรองความถูกต้องของคุณสำหรับบัญชี SF

มีสามส่วนในระบบเข้าสู่ระบบทั่วไป (เรียกว่าสาม "A" หรือเพียงแค่ "AAA"):

  • การบัญชี - ติดตามชื่อและข้อมูลของคุณโดยเฉพาะกับเว็บไซต์ (เช่นโพสต์ข้อความ ฯลฯ )
  • การตรวจสอบสิทธิ์ - ติดตามวิธีการตรวจสอบให้แน่ใจว่าเป็นของจริง ๆ (โดยทั่วไปคือรหัสผ่าน)
  • การให้สิทธิ์ - ติดตามการอนุญาตของคุณ (อ่านหรือเขียนการเข้าถึงสิ่งต่าง ๆ )

คุณสามารถอ่านเพิ่มเติมเกี่ยวกับระบบ AAAใน Wikipedia


หากฉันอนุญาตให้ระบุ OP ใด ๆ ทุกครั้งที่ฉันลงชื่อเข้าใช้ผู้ใช้ที่ประสงค์ร้ายอาจระบุ OP ใด ๆ เมื่อพยายามแฮ็คบัญชีของฉัน ดังนั้นพวกเขาจึงระบุ OP ของตัวเองและเข้าถึง
David

ไม่คุณเพียงแค่อนุญาตให้พวกเขาเมื่อเข้าสู่ระบบเพื่อเพิ่มคะแนน OpenID เพิ่มเติมสำหรับบัญชีของพวกเขา ดังนั้นทำเช่นนี้
ceejayoz

2
@ David เมื่อคุณเข้าสู่ระบบคุณไม่ได้ระบุบัญชีและ OpenIDคุณเพียงระบุOpenID OpenID นั้นต้องเชื่อมต่อกับบัญชีอยู่แล้วไม่เช่นนั้นคุณจะได้รับตัวเลือกในการสร้างบัญชีใหม่ (อย่างน้อยก็ที่นี่ใน SF)
Chris S

1

เดวิดสมมุติว่าคุณคิดผิด OpenID ทำงานเช่นนี้: 1) คุณต้องการเข้าสู่เว็บไซต์ที่อาศัยเว็บไซต์ส่วนบุคคล 2) คุณให้เว็บไซต์ของคุณต้องพึ่งพา ingingparty.com เช่น david.com 3) ตรวจสอบเว็บไซต์ที่เชื่อถือได้ของ david.com (เฮ้มันเป็น URL) เรียกว่าจุดสิ้นสุดของ OpenID ซึ่งสามารถพบได้ที่ david.com แต่ผ่านการมอบหมายยังที่อื่นเช่น yahoo.com หรือ google.com มาเรียกมันว่า davidsopenidprovider.com 4) คุณเปลี่ยนเส้นทางไปที่ davidsopenidprovider.com ทันที งานของ davidsopenidprovider.com คือการพิสูจน์ตัวตนของคุณ คุณต้องเข้าสู่ระบบเพื่อ davidsopenidprovider.com มันขึ้นอยู่กับ davidsopenidprovider.com ว่าการเข้าสู่ระบบนี้ทำงานอย่างไร มันอาจเป็นชื่อผู้ใช้ / รหัสผ่านมันอาจเป็นข้อมูลการ์ดใบรับรองเบราว์เซอร์ลายนิ้วมือสมาร์ทการ์ดกลไกนอกวงเช่นการยืนยันการโทร ... ขึ้นอยู่กับ davidsopenidprovider com วิธีจัดการการรับรองความถูกต้อง จากนั้นจะถามว่าคุณต้องการเข้าสู่ระบบที่ 5) หากคุณประสบความสำเร็จในการล็อกอินไปยัง davidsopenidprovider.com คุณจะถูกเปลี่ยนเส้นทางกลับไปที่ dependingparty.com และล็อกอินโดยอัตโนมัติ 6) davidsopenidprovider.com เพียง แต่มั่นใจได้ถึงการใช้งานพาร์ทเนอร์ของ com.com ว่าคุณเป็นคนที่คุณอ้างว่าคุณเป็น มันไม่ได้ส่งรหัสผ่านใด ๆ

ดังนั้นข้อสันนิษฐานของคุณ "ในฐานะผู้บริโภคเมื่อฉันสร้างบัญชีบน any-site.com ฉันไม่มีความเห็นเกี่ยวกับความฉลาดของผู้พัฒนา / ผู้จัดการไซต์" เป็นเท็จเกี่ยวกับ OpenID หากมีจุดอ่อนก็คือผู้ให้บริการ แต่ไม่ใช่ที่ใด ๆ -site.com นั่นเป็นปัญหาของการลงชื่อเข้าใช้ชื่อผู้ใช้ / รหัสผ่านแบบดั้งเดิมในขณะนี้ คุณต้องเชื่อใจในแต่ละไซต์ที่ให้การเข้าสู่ระบบด้วยวิธีนี้และไม่ใช่เพียงผู้ให้บริการ OpenID ของคุณ

ฉันหวังว่าสิ่งนี้จะช่วยให้เข้าใจ OpenID


0

คุณรู้ได้อย่างไรว่าพวกเขาทำ?

เช่นเดียวกับที่คุณรู้ว่ามีเว็บไซต์เก่า ๆ ส่งรหัสผ่านของคุณไปให้คนอื่น - คุณทำไม่ได้ นั่นเป็นเหตุผลที่คุณใช้สิ่งที่น่าจะเป็น บริษัท ที่มีชื่อเสียง

คุณไม่สามารถเปลี่ยน OP ของคุณได้โดยไม่ต้องเปลี่ยน OpenID

แน่นอนว่าคุณสามารถ ดูที่การมอบหมาย OpenID

OpenID ของฉันคือhttp://ceejayoz.com/แต่ OP ของฉันคือ WordPress.com สองMETAแท็กในส่วนหัวของhttp://ceejayoz.com/อนุญาตให้ฉันทำสิ่งนี้และฉันสามารถเปลี่ยนได้ตลอดเวลาที่ฉันชอบ


0

openID ของคุณคือผู้ให้บริการของคุณ pwnguin.netคือ openID ของฉัน นี่ไม่ใช่เรื่องที่จะคาดเดา แต่เป็นความจริงที่รู้จักกันดี สิ่งที่ปกป้อง openID ของฉันคือซอฟต์แวร์ที่ทำงานบน pwnguin.net ซึ่งจะตอบกลับในการยืนยันเท่านั้นหากผู้เข้าชมที่สงสัยมีคุกกี้รับรองความถูกต้อง

ฉันจะไม่พูดว่า openID ปลอดภัย; มีสคริปต์ข้ามไซต์ทุกชนิดที่สามารถดำเนินการต่อหรือรายละเอียดทางโลกบางอย่างที่ฉันมักจะเพิกเฉยหรือผิดพลาด


0

นี่คือสิ่งที่ฉันรวบรวมมาจากคำตอบที่นี่ ...

OpenID มีความปลอดภัยเท่ากับฝ่ายที่เกี่ยวข้องและเป็นจริงของวิธีการรับรองความถูกต้องใด ๆ ฉันรู้ว่าก่อนที่จะเริ่มการสนทนานี้

ปัญหาเกี่ยวกับ OpenID อย่างที่ฉันเป็นสองเท่า ...

  1. LoginID ของคุณไม่ได้เป็นความลับอีกต่อไปเฉพาะระหว่างคุณกับเว็บไซต์ที่คุณใช้งาน เป็น OpenID ของคุณและเป็นที่รู้จักในทุกไซต์ที่คุณใช้และเป็นสิ่งที่เดาได้ง่ายเช่นที่อยู่อีเมลหรือบางสิ่งที่ได้จากที่อยู่อีเมลของคุณหรือสิ่งอื่นที่คล้ายคลึงกัน

  2. RP ของอาจใช้ OpenIP บนเว็บไซต์ของพวกเขาโดยไม่ต้องขยันเนื่องจากสมมติว่าพวกเขากำลังใช้ 'โปรโตคอล' ที่ยอมรับอย่างกว้างขวางว่าปลอดภัย จริงอยู่ที่นักพัฒนาเว็บไซต์ส่วนใหญ่ไม่มีแนวคิดที่แท้จริงเกี่ยวกับวิธีการรักษาความปลอดภัยเว็บไซต์ แต่หากพวกเขาใช้การรักษาความปลอดภัยของตนเองปัญหาอย่างน้อย # 1 ไม่ได้เกิดขึ้น

ในฐานะผู้บริโภคเมื่อฉันสร้างบัญชีบน any-site.com ฉันไม่มีความคิดในด้านสติปัญญาของนักพัฒนา / ผู้จัดการไซต์ ฉันใช้ ID ที่ฉันไม่คิดว่าจะเดาได้ง่าย ฉันไม่ต้องการให้ serverfault.com รู้รหัสที่ฉันใช้เพื่อเข้าสู่ Etrade.com ฉันยังใช้รหัสผ่านที่แตกต่างกันในทุกไซต์และจัดการรหัสผ่านเหล่านั้นด้วยระบบของฉันเอง มันไม่น่าเป็นไปได้สูงมากที่บัญชีของฉันจะถูกประกอบขึ้นเว้นแต่ว่าผู้ให้บริการไซต์จะเป็นไอเดียทั้งหมด

ด้วย OpenID ทุกคนในเว็บจะรู้วิธีการทำงานและวิธีการโจมตีหาก RP ไม่มีมาตรการที่เหมาะสม

ฉันชอบซอฟต์แวร์โอเพนซอร์ซ แต่ในกรณีของ OpenID ฉันคิดว่ามันเปิดโอกาสให้มีการใช้งานที่ด้อยกว่าสำหรับผู้ใช้ที่ไม่สงสัย

ฉันคิดว่าสิ่งนี้สามารถแก้ไขได้ทั้งหมดโดยตราประทับการอนุมัติบางฉบับที่รับรองว่าจะทำให้ผู้บริโภคมั่นใจว่าไซต์ได้ผ่านการตรวจสอบและไม่สามารถทำให้เป็นแฮ็กได้

บางทีฉันแค่หวาดระแวง


ฉันรู้ว่าเก่า แต่รู้ว่า "id" openid นั้นไร้ประโยชน์ ... google เช่นใช้ url เดียวกันแน่นอนสำหรับผู้ใช้คนเดียวที่ exery การรู้ว่าจะช่วยให้คุณเข้าสู่ stackoverflow ในฐานะฉันได้อย่างไร (นอกเหนือจากการรู้ว่าถ้าคุณสามารถแฮ็คบัญชี Google ของฉันคุณจะได้รับสิทธิ์เป็นฉัน แต่ไม่แตกต่างจาก "ลืมชื่อผู้ใช้ / รหัสผ่าน")
jmoreno
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.