オープンIDは安全ですか？

9

オープンIDは安全ですか？たとえば、それを使用して銀行口座にログインできますか？

security openid

— ダニエル
ソース

1

はい、2.0は非常に安全です。Goが読みen.wikipedia.org/wiki/OpenIDを「OpenIDの認証の独自の形式を提供していませんが、アイデンティティプロバイダは、強力な認証を使用する場合、OpenIDのは、このような銀行や電子商取引などの安全な取引のために使用することができます。」

— エヴァンキャロル

1

ええ、本当の質問は...あなたのOpenIDプロバイダーは安全ですか？

— Andor

8

OpenIDはOpenIDプロバイダーと同じくらい安全です（たとえば、「誰かがMyspaceアカウントに侵入した場合、OpenIDとそれを使用するすべてのものにアクセスできます」）。

個人的には、貴重なものは信用しません。ほとんどのOpenIDプロバイダーには、かなりお粗末なセキュリティの実績があります。

— voretaq7
ソース

1

OpenIDの利点を見落としていて、単に便宜上それらを書き留めていると思います。

— エヴァンキャロル

3

@Evan：OpenIDには多くの利点があります。実際、私はSO三部作サイトにOpenIDを使用しています。ただし、セキュリティ上の懸念を否定するような利点はなく、OpenIDプロバイダーのセキュリティを銀行口座情報で信頼することは絶対にありません:-)

— voretaq7

2

確かに彼らは、どのようにあなたの声明を減らす程度OpenID is as secure as the OpenID providerに、X is as secure as the X provider：あなたがすべてでは何も述べていない。その場合には。あなたの発言は真実ですが、それは正気ではありません。OpenIDをセットアップして維持するのに十分な知識を持つ人は、おそらく、1つは技術的ソリューションを販売し、もう1つは金融的ソリューションを販売しているという点で銀行と同等の資格があると思います。はい、私はワシントンミューチュアルよりもはるかにGoogle / Yahoo / Verisignを信頼しています

— エヴァンキャロル

3

@Evan -任意のサービスがあり、定義によってのみ、プロバイダなどのセキュアとして。私の意見では、OpenIDは貴重なプロトコルですが、重要な認証のために信頼できるプロバイダーのセキュリティに関して、十分な構造的保証を提供していません。私の評価に反対することは自由ですが、私は私が言ったことを後回しにしています。

— voretaq7 2010

3

@エヴァン、あなたは取り付かれているほどにさえ、この主題にかなり情熱的であるようです。おそらく、あなたは一歩下がって、別の見方をする必要があります。あなたがOpenIDを信頼しているという事実は、OpenIDを安全にするものではありません。私たちはそれを不信する最初のものではなく、確かに最後になることはありません。便利な要素については、それは問題のトピックではありません。

— ジョンガーデニアス2010

5

OpenIDはOpenIDプロバイダーと同じくらい安全であるというvoretaq7に同意しますが、使用するOpenIDプロバイダーを選択するときは、評判の良いプロバイダーを使用していることを確認するように注意する必要があります。これと同じ考え方が、セキュリティに関係するすべてに当てはまります。Google、AOL、そしてVerisignでもOpenIDを提供しており、これらの企業やプロバイダーは確かな実績があります。

OpenIDが自社開発のセキュリティやその他のサードパーティパッケージよりも優れている点の1つは、セキュリティの認証面を、ほとんどの小規模なエンティティよりも多くの経験とリソースを備えた企業が手に入れることができることです。サーバーとデータを保護する機能が優れている傾向があります。私は小さなお店の従業員として、このデータを保護するために必要なサーバーやファイアウォールなどを正しく構成するために、私よりもGoogleを信頼しています。

ただし、OpenIDは、すべての最も危険な側面、つまり弱い資格情報を選択するユーザーに対しても同様に脆弱です。

— DCNYAM
ソース

1

GoogleやVerisignなどはおそらく「かなり安全な」OpenIDを提供していますが、誰でも OpenIDプロバイダーになることができます。OpenIDの全体的な概念（私が理解しているように）は、任意のプロバイダーからの有効なOpenIDを受け入れることです。さまざまなアカウントを設定します。安全でないOpenIDプロバイダー（または安全でないパスワードリカバリーを備えたプロバイダー）を選択する人は、パスワードとして使用するユーザーと同じくらい危険かもしれませんabc123...

— voretaq7

2

周りの唯一の危険な人はユーザーであるように見えます。彼らは、OpenIDを使用する場合にパスワードを選択する人と、パスワードを誰にするかを選択します。彼らを自分たちから守るのは私たちの責任でしょうか？

— Chris

2

認証にOpenIDを受け入れるサービスを実行している場合、信頼できないプロバイダーを簡単にブラックリストに登録したり、既知の優れたプロバイダーをホワイトリストに登録したりできます。これにより、ユーザーが安全でないパスワードを設定できるようにするプロバイダーを回避できます。

— GAThrawn、2010

1

@Chris：アカウントが侵害されたときに、私たちが非難の嵐の前に立つ必要がある限り、はい-少なくとも部分的に。（そのため、一部のサイトでは、 "> = 8文字、英数字+少なくとも1つの特殊文字"などのパスワードポリシーを採用しています）。

— voretaq7 2010

@ voretaq7：誰でも銀行になることができます。

— エヴァンキャロル

5

OpenIDは、認証をサードパーティに委任する方法です。銀行業務などの信頼性の高いアプリケーションの場合、認証を委任する相手は、セキュリティに関する主要な決定事項です。現状のopenIDプロトコルは、単一要素認証（openID auth-token）または十分な認証保護機能を備えたシステムへの委任認証を許可する標準には十分です。

次の質問：現在のopenIDプロバイダーは、オンラインバンキングに対して十分に安全ですか？

それは別の質問で、おそらく今は否定的です。ただし、たとえば、アメリカの銀行のコンソーシアムがリソースをプールして、指定された標準に従って監査される単一の銀行のopenIDプロバイダーを作成することを止める（技術的な）ものはありません。そのopenIDプロバイダーは、SiteKey、SecureID、スマートカードスワイプなど、必要な認証方法を使用できます。私はこの可能性を主要な商業銀行にはありそうもないと考えていますが、信用組合コミュニティはそれを試してみるかもしれません。

— sysadmin1138
ソース

1

私は、VeriSign PIPとおそらくMyOpenIDを銀行にとって十分に安全であると考えます。

— user1686

2

OpenIDは、（1）ログインしようとしているサイトの最も弱いものと同じくらい安全です。（2）OpenIDプロバイダー。または（3）DNSシステム。

勧告：

銀行が推奨するセキュリティ/ログインシステムを使用し、サービスの利用規約を理解して、アカウントが侵害された場合の権利を知ってください。
サービスのセキュリティが低下するため、銀行にOpenIDの採用を勧めないでください。

弱点：

この事実の直接の帰結は、OpenIDがせいぜい、ログインしようとしているサイトと同じくらい安全であることです。より安全になることはありません。

OpenIDプロトコルでは、プロバイダーへのリダイレクトは、ログインしているサイトの制御下にあり、簡単なフィッシングや中間者攻撃につながります。このような攻撃により、悪意のあるサイトは、知らないうちに OpenID資格情報を盗むことができ、それを後で使用して、他のOpenID対応サイトにログインすることができます。

DNS攻撃はより複雑ですが、攻撃者は自分のOpenIDプロバイダーであることを銀行に知らせます。攻撃者はOpenIDを使用してログインし、偽のプロバイダーに銀行に承認を与えます。この場合、攻撃者はあなたをフィッシングしたり、パスワードを入手したり、コンピュータに何かをインストールしたりする必要はありません。必要なのはOpenIDだけです。

同様に、OpenIDプロバイダーへの攻撃により、攻撃者はパスワードを知らなくても、OpenID対応のサイトにログインすることができます。

OpenIDの弱点と攻撃の詳細については、http://www.untrusted.ca/cache/openid.htmlをご覧ください。

— トワイライト
ソース

1

OpenIDはプロトコルです。プロトコルは非常に安全ですが、バックエンド認証方法はそうである必要はありません。バングラデシュのtelnetを介してdosボックスからユーザーを検証するOpenIdポータルを実行できます。

それは銀行にとって十分安全ですか？はい。実際、私はすべての銀行プロバイダーがそれを許可することを望みます。さらに、銀行のプロバイダーを他のテクノロジープロバイダーよりも信頼したい場合、彼らがそれを提供するのは良いことではありませんか？

— エヴァン・キャロル
ソース

1

銀行があなたのお金を委託されているからといって、それによって銀行はデジタルIDを処理する資格を得ますか？

— Chris

1

@chris：いいえ、違います。しかし、それはこのスレッドの傾向のようです。銀行はお金の処理に固執し、認証の処理にはグーグルを使いたいです。要は、あなたが誰を信頼するか、銀行または銀行以外の誰かを信頼するかどうかは関係ありません。すべての銀行がOpenIDプロバイダーであり、消費者である場合、Googleまたは銀行のGoogleで認証を使用できます-OpenIDは通信を許可するプロトコル。

— エヴァンキャロル