Насколько безопасен openID?

Question

Это что-то, что можно использовать для информации с высокой степенью защиты или ее следует обойти для единой системы аутентификации сайта? Это может быть глупый вопрос (так как это не звучит безопасно), но я хотел бы получить несколько советов.

Answer 1

OpenID сам по себе не менее безопасен, чем традиционный логин + пароль для входа.

Очевидно, что вы доверяете большую часть безопасности провайдеру - например, предотвращение перебора, политика изменения размера пароля и т. Д.

Не будет использоваться, например, для онлайн-банкинга, не тогда, когда сам протокол OpenID небезопасен, а из-за варианта использования.

информация с высокой степенью защиты

Финансовая информация?DoD Совершенно секретно?Действительно защищенная информация не доступна через Интернет, только в локальной сети или через VPN, что переносит часть безопасности на сетевой уровень.Действительно защищенная информация находится на компьютере без сетевого подключения ...

Существует теория, что пользователь, имеющий только один пароль для своей учетной записи OpenID, имеет возможность выбрать надежный надежный пароль,менее вероятно, когда им нужно запомнить x паролей.

Answer 2

OpenID технически исправен, но может вызывать недоумение у некоторых пользователей.Я рекомендую просмотреть ответы на этот вопрос.Для очень личной информации я бы с осторожностью использовал OpenID, потому что:

• Поскольку логин используется так широко и так часто, появляется больше возможностей для случайного раскрытия пароля.Особое беспокойство может возникнуть, если другой сайт с поддержкой OpenID, зарегистрированный пользователем в один прекрасный день, запрашивает у них свой действительный пароль ... некоторые пользователи могут ввести его, не задумываясь, не понимая, что они обходят модель безопасности OpenId.

• Если у вас есть сомнения относительно безопасности OpenID, у пользователей также могут быть эти сомнения.С точки зрения бизнеса, стоит ли риск быть воспринятым как ненадежным?(Конечно, это, по крайней мере, лучше, чем наоборот - плохая безопасность воспринимается как безопасная!)

Существует тенденция к предложению входа в систему OpenID на сайтах социальных сетей и т. Д., но я сомневаюсь, что мы увидим, что он будет принят для защиты чрезвычайно конфиденциальных данных.

Answer 3

В общем, на самом деле это не более или менее безопасно, чем обычная аутентификация по паролю и пользователю, но с одним существенным отличием (IMO). OpenID позволяет пользователю войти в систему несколькими различными способами (Google, AOL, Yahoo и т. Д.). Если кто-то взломает его, ему придется идти после каждой отдельной услуги. У вас есть возможность запретить участие определенных служб, если вы обнаружили, что один из них менее безопасен.

Answer 4

OpenID сам по себе безопасен, однако из-за его децентрализованной природы он часто предполагает, что три сервера являются «доверенными».Если эти серверы не заслуживают доверия, то ваша безопасность исчезла.

Например, если вы используете свой собственный веб-сайт в качестве идентификатора, но делегируете аутентификацию стороннему провайдеру, то если ваш веб-сайт, или провайдер идентификации, или сервер-потребитель проникает, тогда информация не защищена.

Если вы хотите использовать OpenID для внутреннего использования и использовать только для себяЗащищенный сервер как поставщик OpenID, тогда вы должны быть достаточно безопасны.Но если вы хотите, чтобы люди «принесли свою учетную запись OpenID», тогда OpenID - не правильный выбор.