¿Es seguro el ID abierto?

9

¿Es segura la identificación abierta, por ejemplo, puede usarla para iniciar sesión en cuentas bancarias?

security  openid 
Daniel
fuente
1
Sí, 2.0 es muy seguro. Vaya a leer en.wikipedia.org/wiki/OpenID "OpenID no proporciona su propia forma de autenticación, pero si un proveedor de identidad utiliza una autenticación fuerte, OpenID puede usarse para transacciones seguras como la banca y el comercio electrónico".
Evan Carroll
1
Sí, creo que la verdadera pregunta es ... ¿Es seguro su proveedor OpenID?
Andor

Respuestas:

8

OpenID es tan seguro como el proveedor de OpenID (es decir, "si alguien ingresa a su cuenta de Myspace, tiene acceso a su OpenID y todo lo que la usa").

Personalmente no confiaría en nada valioso. La mayoría de los proveedores de OpenID tienen un historial de seguridad bastante pésimo.

voretaq7
fuente
1
Creo que estás pasando por alto las ventajas de OpenID y las descartas como mera conveniencia.
Evan Carroll
3
@Evan: OpenID tiene muchas ventajas: de hecho, uso OpenID para los sitios de la trilogía SO. Sin embargo, ninguna de las ventajas niega mis preocupaciones de seguridad, y ciertamente no confiaría en la seguridad de mi proveedor de OpenID con la información de mi cuenta bancaria :-)
voretaq7
2
Claro que sí, ¿qué tal si reduce su estado de cuenta OpenID is as secure as the OpenID providera X is as secure as the X provider: en cuyo caso no está indicando nada en absoluto? Si bien su afirmación es cierta, es absurda: creo que cualquier persona con el conocimiento suficiente para configurar y mantener OpenID probablemente sea al menos tan calificado como un banco en el mérito de que uno está vendiendo una solución técnica, mientras que el otro está vendiendo una solución financiera. . Sí, confío en Google / Yahoo / Verisign mucho más de lo que confío en Washington Mutual
Evan Carroll
3
@Evan: cualquier servicio es, por definición, tan seguro como el proveedor. Mi opinión es que OpenID, mientras que un protocolo valiosa, no ofrece suficientes garantías estructurales en cuanto a la seguridad de sus proveedores para confiar en ella para la autenticación crítico. Eres libre de estar en desacuerdo con mi evaluación, pero estoy de acuerdo con lo que he dicho.
voretaq7
3
@Evan, pareces ser un apasionado de este tema, incluso hasta el punto de estar obsesionado. Quizás necesite dar un paso atrás y echar otro vistazo. El hecho de que USTED confíe en OpenID no lo hace seguro. No somos los primeros en desconfiar y ciertamente no seremos los últimos. En cuanto al factor de conveniencia, ese no es el tema de la pregunta.
John Gardeniers
5

Si bien estoy de acuerdo con voretaq7 en que OpenID es tan seguro como el proveedor de OpenID, debo decir que al seleccionar un proveedor de OpenID para usar, se debe tener cuidado para asegurarse de que está utilizando un proveedor de buena reputación. Esta misma idea se aplica a todo lo que tenga que ver con la seguridad. Google, AOL y creo que incluso Verisign ahora ofrecen OpenID y estas compañías / proveedores tienen un buen historial.

Una de las principales ventajas de OpenID sobre la seguridad local o algún otro paquete de terceros es que pone el aspecto de autenticación de seguridad en manos de empresas con más experiencia y más recursos para manejarlo que la mayoría de las entidades más pequeñas. Tienden a tener una mejor capacidad para proteger sus servidores y datos. Como empleado de una pequeña tienda, ciertamente confiaría en Google más que en mí para configurar correctamente los servidores, firewalls, etc. necesarios para proteger estos datos.

Sin embargo, OpenID es igual de vulnerable al aspecto más peligroso de todos: los usuarios que eligen credenciales débiles.

DCNYAM
fuente
1
Google, Verisign, etc. probablemente brinden OpenID "razonablemente seguros", pero cualquiera puede ser un proveedor de OpenID, y el concepto completo de OpenID (según tengo entendido) es aceptar un OpenID válido de cualquier proveedor para que la gente no tenga configurar un montón de cuentas diferentes. Alguien la selección de un proveedor de OpenID insegura (o uno con la recuperación de contraseñas inseguras) podría ser casi tan peligrosos como los usuarios que utilizan abc123como sus contraseñas ...
voretaq7
2
Parece que la única persona peligrosa es el usuario. Ellos son los que seleccionan cuál es la contraseña, si usan OpenID y quién debería ser. ¿Debería ser nuestra responsabilidad protegerlos de ellos mismos?
Chris
2
Si está ejecutando un servicio que acepta OpenIDs para la autenticación, podría fácilmente incluir en la lista negra a los proveedores no confiables, o incluir en la lista blanca a los buenos proveedores conocidos. De esa forma, puede evitar proveedores que permiten al usuario establecer una contraseña insegura.
GAThrawn
1
@Chris: siempre y cuando tengamos que estar frente a la tormenta de la culpa cuando una cuenta se ve comprometida, sí, al menos parcialmente. (Es por eso que algunos sitios tienen políticas de contraseña como "> = 8 caracteres, alfanuméricos + al menos 1 carácter especial").
voretaq7
@ voretaq7: cualquiera puede ser un banco también.
Evan Carroll
5

OpenID es una forma de delegar la autenticación a un tercero. Para una aplicación de alta confianza como la banca, a quién delega la autenticación es una decisión de seguridad importante. El protocolo openID en su estado actual es suficiente para cualquier estándar que permita la autenticación de factor único (el token de autenticación openID) o la autenticación delegada a un sistema que tenga suficientes garantías de autenticación.

La siguiente pregunta: ¿Hay algún proveedor actual de openID lo suficientemente seguro para la banca en línea?

Esa es una pregunta diferente, y probablemente sea negativa en este momento. Sin embargo, no hay nada (técnico) que detenga, por ejemplo, un consorcio de bancos estadounidenses que reúnen recursos para crear un único proveedor de openID bancario que siga un estándar establecido y sea auditado. Ese proveedor de openID puede usar cualquier método de autenticación que necesite, ya sea SiteKey, SecureID, Smart Card, o cualquier otra cosa que se requiera. Considero que esta posibilidad es poco probable para los principales bancos comerciales, pero la comunidad de Credit Union podría intentarlo.

sysadmin1138
fuente
1
Consideraría VeriSign PIP y probablemente MyOpenID lo suficientemente seguro como para realizar operaciones bancarias.
user1686
2

OpenID es tan seguro como el más débil de (1) el sitio en el que está intentando iniciar sesión; (2) su proveedor de OpenID; o (3) el sistema DNS.

Recomendación:

  • Use el sistema de seguridad / inicio de sesión recomendado por su banco y comprenda los términos y condiciones del servicio para que conozca sus derechos si su cuenta se ve comprometida.
  • No aliente a su banco a adoptar OpenID, ya que esto reducirá la seguridad de su servicio.

Debilidades:

Una consecuencia inmediata de este hecho es que OpenID puede ser, en el mejor de los casos, tan seguro como el sitio en el que intenta iniciar sesión; Nunca puede ser más seguro.

En el protocolo OpenID, la redirección a su proveedor está bajo el control del sitio en el que está iniciando sesión, lo que conduce a phishing triviales y ataques de intermediarios. Tales ataques permitirán que un sitio hostil robe sus credenciales de OpenID sin que usted lo sepa , que luego pueden usar para iniciar sesión en cualquier otro sitio habilitado para OpenID como usted.

Los ataques de DNS son más complicados, pero permitirán que un atacante convenza a su banco de que él es su proveedor de OpenID. El atacante inicia sesión con su OpenID y hace que su proveedor falso autorice al banco. En este caso, el atacante no necesita phishing o aprender su contraseña o instalar nada en su computadora; todo lo que necesita es su OpenID.

Del mismo modo, un ataque a su proveedor de OpenID permitirá que el atacante inicie sesión como usted en cualquier sitio habilitado para OpenID, sin conocer su contraseña.

Más información sobre las debilidades y ataques de OpenID en http://www.untrusted.ca/cache/openid.html .

Twylite
fuente
1

OpenID es un protocolo. El protocolo es muy seguro, sin embargo, el método backend-auth no tiene que serlo. Puede ejecutar un portal OpenId que validará a un usuario desde un cuadro de dos a través de telnet en Bangladesh.

¿Es lo suficientemente seguro para la banca? Si. De hecho, deseo que todos los proveedores bancarios lo permitan. Además, si desea confiar más en los proveedores de servicios bancarios que en otros proveedores de tecnología, ¿no sería bueno que lo proporcionaran ?

Evan Carroll
fuente
1
El hecho de que un banco sea el encargado de su dinero, ¿los califica para manejar identidades digitales?
Chris
1
@ Chris: No, no lo hace. pero esa parece ser la tendencia de este hilo. Prefiero que los bancos sigan manejando dinero y usen google para manejar mi autenticación. El punto es que no importa en quién confíes, alguien que no sea el banco o el banco: si cada banco fuera un proveedor y consumidor de OpenID, podrías usar su autenticación en Google o Google en el banco: OpenID es solo El protocolo para permitirles comunicarse.
Evan Carroll
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.