Чи безпечний відкритий ідентифікатор?

Чи безпечно відкритий ідентифікатор, наприклад, ви можете використовувати його для входу в банківські рахунки?

OpenID настільки ж безпечний, як і постачальник OpenID (тобто "Якщо хтось проник у ваш обліковий запис Myspace, він отримає доступ до вашого OpenID та всього, що ним використовується").

Особисто я б не довірив їй нічого цінного. Більшість постачальників OpenID мають досить вразливий досвід безпеки.

Хоча я погоджуюся з voretaq7 про те, що OpenID є настільки ж безпечним, як і постачальник OpenID, я повинен сказати, що, вибираючи постачальника OpenID для використання, слід бути обережним, щоб ти користувався авторитетним постачальником. Ця ж ідея стосується всього, що стосується безпеки. Google, AOL, і я думаю, навіть зараз Verisign пропонують OpenID, і ці компанії / провайдери мають хороший досвід.

Однією з найважливіших переваг OpenID перед домашнім захистом або іншим стороннім пакетом є те, що він передає аспект автентифікації безпеки в руки компаній, які мають більше досвіду та більше ресурсів для управління, ніж більшість менших організацій. Вони, як правило, мають кращу здатність захищати свої сервери та дані. Як працівник невеликого магазину, я, безумовно, довіряю Google більше, ніж собі, щоб правильно налаштувати сервери, брандмауери тощо, необхідні для захисту цих даних.

Однак OpenID так само вразливий до найнебезпечнішого аспекту з усіх - користувачів, які вибирають слабкі дані.

OpenID - це спосіб делегувати автентифікацію третій стороні. Для додатків з високою довірою, таких як банківська діяльність, якому ви делегуєте автентифікацію, є важливим, важливим рішенням безпеки. Протокол openID, який він є, є достатнім для будь-якого стандарту, який дозволяє або однофакторну аутентифікацію (відкритий аутентифікатор openID), або делеговану автентифікацію системі, яка має достатню гарантію автентифікації.

Наступне запитання: чи достатньо надійні будь-які поточні провайдери openID для інтернет-банкінгу?

Це вже інше питання, і це, мабуть, негативно зараз. Однак, скажімо, немає нічого (технічного) припинення, скажімо, консорціуму американських банків, що об'єднує ресурси для створення єдиного банківського постачальника openID, який відповідає заявленому стандарту та підлягає аудиту. Цей постачальник openID може використовувати будь-які необхідні способи аутентифікації, будь то SiteKey, SecureID, проведіть смарт-карту чи будь-що інше. Я вважаю цю можливість малоймовірною для великих комерційних банків, але спільнота Credit Union може просто спробувати.

OpenID настільки ж безпечний, як і найслабший (1) сайт, на який ви намагаєтесь увійти; (2) ваш постачальник OpenID; або (3) система DNS.

Рекомендація:

• Скористайтеся рекомендованою системою безпеки / входу в банк і зрозумійте умови надання послуг, щоб ви знали свої права, якщо ваш рахунок порушений.
• Не закликайте ваш банк приймати OpenID, оскільки це знизить безпеку їх обслуговування.

Слабкі сторони:

Безпосереднім наслідком цього факту є те, що OpenID в кращому випадку може бути настільки ж безпечним, як і сайт, на який ви намагаєтесь увійти; він ніколи не може бути більш безпечним.

У протоколі OpenID перенаправлення на ваш провайдер знаходиться під контролем сайту, на якому ви входите в систему, що призводить до тривіального фішингу та атаки з боку людини. Такі атаки дозволять ворожим сайтам викрасти ваші облікові дані OpenID, не знаючи , які вони згодом можуть використовувати для входу на будь-який інший веб-сайт із підтримкою OpenID.

DNS-атаки є складнішими, але дозволять зловмисникові переконати ваш банк, що він є вашим постачальником OpenID. Зловмисник входить в систему, використовуючи ваш OpenID, і його фальшивий постачальник надає дозвіл банку. У цьому випадку зловмиснику не потрібно підробляти вас, не дізнаватися свій пароль або встановлювати що-небудь на комп'ютер - все, що йому потрібно, це ваш OpenID.

Аналогічно, атака на вашого постачальника OpenID дозволить зловмиснику увійти, як ви, на будь-якому сайті з підтримкою OpenID, не знаючи вашого пароля.

Більше інформації про слабкі та атаки OpenID можна знайти на веб- сайті http://www.untrusted.ca/cache/openid.html .

OpenID - протокол. Протокол дуже безпечний, проте методом бекенда-аутентифікації не повинно бути. Ви можете запустити портал OpenId, який перевірить користувача з вікна Dos над telnet в Бангладеш.

Це достатньо безпечно для банківської діяльності? Так. Насправді, я б хотів, щоб усі банківські провайдери це дозволили. Крім того, якщо ви хочете довіряти банківським провайдерам більше, ніж іншим постачальникам технологій - чи не було б непогано, якби вони це надали ?