Насколько безопасен openID?
Это то, что можно использовать для высокозащищенной информации или его следует обойти для одной системы аутентификации сайта? Это может быть глупый вопрос (поскольку он не звучит безопасно), но я хотел бы получить совет.
4 ответов
OpenID сам по себе не менее безопасен, чем традиционное имя пользователя+пароль.
очевидно, что Вы доверяете большую часть безопасности поставщику-например, предотвращение грубой силы, политика размера пароля и т. д.
не будет использовать его для онлайн-банкинга, например, не в то время как сам протокол OpenID небезопасен, но из-за случая использования.
высокозащищенная информация
финансовая информация? Дод Секретно? Действительно безопасная информация недоступна через интернет, только в локальной сети или через VPN, который перемещает часть безопасности на сетевой уровень. Действительно надежной информации на компьютере без подключения к сети...
существует теория, что пользователь, имея только один пароль для использования для своей учетной записи OpenID, имеет возможность выбрать достойный пароль силы, менее вероятно, когда они должны помнить X паролей.
сам OpenID безопасен, однако из-за его децентрализованного характера он часто предполагает, что три сервера являются "доверенными". Если эти серверы не заслуживают доверия, ваша безопасность исчезла.
например, если вы используете свой собственный веб-сайт в качестве идентификатора, но делегируете аутентификацию стороннему поставщику, то если ваш сайт, или провайдера идентификации, или сервер потребителя проникнут, тогда информация не является безопасной.
Если вы хотите использовать OpenID внутри и использовать только ваш собственный безопасный сервер в качестве поставщика OpenID, тогда вы должны быть довольно безопасны. Но если вы хотите, чтобы люди "принесли свою собственную учетную запись OpenID", то OpenID не является правильным выбором.
В общем, на самом деле это не более o менее безопасно, чем обычная аутентификация пользователя/пароля, но с одним существенным отличием (IMO). OpenID позволяет пользователю войти в систему несколькими различными способами (Google, AOL, Yahoo и т. д..). Если кто-то должен был взломать его, они должны были идти после каждой отдельной службы. У вас есть возможность не разрешать некоторым службам участвовать, в случае, если вы нашли один из них менее безопасным.
OpenID технически звучит, но может быть озадачивающим для некоторых пользователей. Я рекомендую просматривать ответы на этой вопрос. Для очень частной информации я был бы осторожен в использовании OpenID, потому что:
поскольку логин используется так широко и так часто, есть больше возможностей для случайного раскрытия пароля. Особое беспокойство будет, если другой сайт с поддержкой OpenID, на котором пользователь зарегистрирован в один день запрашивает у них пароль...некоторые пользователи могут войти в него, не задумываясь, не понимая, что они обходят модель безопасности OpenId.
Если вы есть сомнения в безопасности OpenID, пользователи также могут иметь эти сомнения. С точки зрения бизнеса, стоит ли рисковать быть воспринимались как небезопасных? (Конечно, это по крайней мере лучше, чем наоборот ... плохая безопасности воспринимается как безопасный!)
существует тенденция к предложению входа OpenID на сайтах социальных сетей и тому подобное, но я сомневаюсь, что мы увидим, что он будет принят очень много для защиты чрезвычайно конфиденциальных данных.