Секретные или Частные ключи безопасны при аутентификации через SSO?

Question

Где я работаю, единый вход в другие приложения - все в моде.Однако, работая над некоторым унаследованным кодом, я обнаружил, что один из наших третьих лиц (крупная компания) использует комбинацию секретного ключа, метки времени и идентификатора пользователя для аутентификации в своей системе.Вся эта информация передается через SSL через строку запроса (хеш MD5).Мой коллега и я обнаружили это, и, поскольку мы знали, как работает это решение с открытым исходным кодом (SSO), мы смогли просто сгенерировать собственную строку запроса и войти в любой аккаунт без пароля!Само собой разумеется, мы быстро подавили эту функцию SSO.

Я ни в коем случае не являюсь экспертом в области безопасности, но использовал этот способ, не являются ли такие секретные ключи невероятно опасными?Тем более, что сторонний «соединитель» SSO является открытым исходным кодом.Они рекомендуют менять ключ очень часто, но, как я уже сказал, это кажется слишком легким для грубой силы;угадывание одного пароля равняется доступу к каждому аккаунту!Пожалуйста, дайте мне знать ваши мысли и мнения, просветите меня:)

Answer 1

Единый вход достаточно сохранить, пока закрытые ключи остаются закрытыми.Ключи должны быть зашифрованы с помощью 512-битного RSA или чего-то подобного, и поэтому будет очень трудно перебором.Но если раскрыты закрытый ключ и открытый ключ, то вся система рухнет, и это не только в SSO.Закрытые ключи должны оставаться закрытыми и никому не должны подвергаться.Поэтому мне уже интересно, является ли секретный ключ в этом случае таким же, как закрытый ключ.Если это так, то реализация просто плохая со стороны.

Answer 2

Уровень безопасности единого входа сводится к реализации конкретного продукта.Я не эксперт в SSO или безопасности.Но OpenID - хороший вариант: http://en.wikipedia.org/wiki/Openid. Кстати, StackOvewfloe также использует OpenID.