การเข้าสู่ระบบ OpenID ถูกบุกรุกด้วยการละเมิดใน Ubuntu Forums หรือไม่

18

ฉันไม่สามารถจำสิ่งที่ฉันใช้ในการเข้าสู่ฟอรั่ม Ubuntu ได้ แต่ฉันค่อนข้างแน่ใจว่ามันเป็น OpenID ฉันควรจะกังวลหรือไม่

ubuntu-forums

4

OT ผู้มีสิทธิเลือกตั้งใกล้ชิด: คำถามนี้แน่นอนในหัวข้อ; เราช่วยคนที่มีทรัพยากรชุมชน Ubuntu ที่นี่ ( "บริการที่จัดทำโดย Ubuntu" ) นอกจากนี้มันไม่ได้อยู่ในmetaซึ่งมีไว้สำหรับคำถามเกี่ยวกับAsk Ubuntuเท่านั้น (ไม่ใช่เกี่ยวกับเว็บไซต์อื่น ๆ ที่เกี่ยวข้องกับ Ubuntu) มันอาจจะได้รับการพิจารณาซ้ำกับคำถามนี้ก่อนหน้านี้แม้ว่า หากเราปิดสิ่งเหล่านี้อย่างใดอย่างหนึ่งให้ซ้ำกันฉันขอแนะนำให้ผสานคำตอบของพวกเขา

— Eliah Kagan

เกี่ยวกับการรวมคำตอบ: ฉันเคยเห็นคำถามอื่น แต่ไม่ทราบว่านำไปใช้กับกรณีของฉันได้หรือไม่

— georgebrindeiro

15

เนื่องจากการเข้าสู่ระบบ OpenID นั้นจะถูกดำเนินการที่ฝั่งผู้ออกหลักทรัพย์เสมอ (ตัวอย่างเช่นถ้าคุณใช้ OpenID ที่คุณได้รับจาก Launchpad ฟอรัมจะติดต่อ Launchpad และเป็น Launchpad ที่ประมวลผลการตรวจสอบสิทธิ์ของคุณ) ฟอรัมจะไม่เก็บรหัสผ่าน OpenID ของคุณ ไม่ต้องการมันเลย)

ดังนั้นผู้โจมตีทั้งหมดจะได้รับคือการเข้าสู่ระบบ OpenID ของคุณ แต่ไม่ใช่รหัสผ่านเนื่องจากไม่มีอยู่จริง

นอกจากนี้เพื่อความสมบูรณ์ตามประกาศอย่างเป็นทางการนี้เฉพาะฟอรัมที่ได้รับผลกระทบไม่มีบริการอื่นใด

— RafałCieślak
แหล่งที่มา

1

มันไม่เพียง แต่ในกรณีที่ไม่จำเป็นต้องบันทึก - พวกเขาไม่สามารถบันทึกได้ในฐานะที่เป็นปาร์ตี้ OpenID ที่ดีไม่เคยเห็นรหัสผ่านของผู้ใช้

— Martin Thoma

8

จาก http://openid.net/

ด้วย OpenID รหัสผ่านของคุณจะได้รับเฉพาะกับผู้ให้บริการข้อมูลประจำตัวของคุณและจากนั้นผู้ให้บริการดังกล่าวจะยืนยันข้อมูลประจำตัวของคุณไปยังเว็บไซต์ที่คุณเยี่ยมชม นอกเหนือจากผู้ให้บริการของคุณไม่มีเว็บไซต์ใดเคยเห็นรหัสผ่านของคุณดังนั้นคุณไม่จำเป็นต้องกังวลเกี่ยวกับเว็บไซต์ที่ไร้ยางอายหรือไม่ปลอดภัยซึ่งส่งผลต่อตัวตนของคุณ

ผู้ให้บริการข้อมูลประจำตัวเช่น Google และเว็บไซต์ที่คุณเยี่ยมชมคือ UF

ใช่คุณควรจะปลอดภัย

— Rinzwind
แหล่งที่มา

3

โดยทั่วไปการพูด (อย่างน้อยก็มีความรู้อย่างน้อยที่สุด) เมื่อใช้บัญชี Open ID เพื่อเข้าสู่ระบบการตรวจสอบความถูกต้องจะดำเนินการโดยเว็บไซต์ภายนอก (ตัวอย่างเช่นถ้าฉันใช้ Facebook เพื่อเข้าสู่ระบบที่นี่การรับรองความถูกต้อง จะได้รับการจัดการอย่างหมดจดโดย Facebook และไม่ใช่โดย Ask Ubuntu) เว็บไซต์อื่นมอบเฉพาะตัวระบุที่ไม่ซ้ำใครซึ่งบอกกับ Ubuntu Forum / ถาม Ubuntu / สิ่งที่คุณเป็นและไม่ส่งผ่านรายละเอียดการเข้าสู่ระบบของคุณ

ดังนั้นรหัสผ่านที่เก็บไว้ (+ แฮชและเค็ม) โดยฟอรัม Ubuntu จะใช้สำหรับบัญชีท้องถิ่นเท่านั้น (ดังที่กล่าวไว้ในส่วน "สิ่งที่เรารู้" ของหน้าการบำรุงรักษาปัจจุบัน)

แน่นอนถ้าคุณยังกังวลเกี่ยวกับมันจะไม่เจ็บที่จะเปลี่ยนรหัสผ่านของคุณ - และเพื่อความสบายใจมันอาจเป็นความคิดที่ดีที่จะทำเช่นนั้นต่อไป - แต่เท่าที่ฉันทราบเว้นแต่บริการที่คุณใช้ หากต้องการตรวจสอบสิทธิ์ Open ID ของคุณว่ามีการละเมิด (Google, Facebook และอื่น ๆ ) ไม่ควรกังวลมากเกินไป

ดูหน้านี้ในเว็บไซต์ OpenIDสำหรับรายละเอียดเพิ่มเติม

— Jez W
แหล่งที่มา

1

หากคุณจริงๆใช้ OpenID: ไม่มี

กระบวนการล็อกอินจะดำเนินการระหว่างผู้ให้บริการ OpenID กับคุณ บริการที่ช่วยให้คุณใช้ OpenID ไม่เห็นรหัสผ่านของคุณ! ไม่มีความเป็นไปได้ที่ ubuntuforums จะเก็บรหัสผ่านของคุณได้อย่างไร

ทรัพยากร OpenID

ทรัพยากรต่อไปนี้อาจช่วยให้คุณเข้าใจว่า OpenID ทำงานอย่างไร

วิดีโอ YouTube
วิกิพีเดีย
จำนวนมากของเนื้อหาจาก Googleเกี่ยวกับ OpenID (ภาพที่เป็นสิ่งที่ดีมาก)

— มาร์ตินโทมา
แหล่งที่มา