Apakah ID terbuka aman, misalnya dapatkah Anda menggunakannya untuk masuk ke rekening bank?
Apakah ID terbuka aman, misalnya dapatkah Anda menggunakannya untuk masuk ke rekening bank?
Jawaban:
OpenID seaman penyedia OpenID (yaitu "Jika seseorang masuk ke akun Myspace Anda, mereka punya akses ke OpenID Anda & semua yang menggunakannya").
Secara pribadi saya tidak akan mempercayainya dengan sesuatu yang berharga. Sebagian besar penyedia OpenID memiliki rekam jejak keamanan yang cukup buruk.
OpenID is as secure as the OpenID provider
, menjadi X is as secure as the X provider
: dalam hal ini Anda tidak menyatakan apa-apa sama sekali. Walaupun pernyataan Anda benar, itu tidak masuk akal: Saya pikir siapa pun yang memiliki pengetahuan cukup untuk mengatur dan memelihara OpenID mungkin paling tidak memenuhi syarat sebagai bank berdasarkan kepantasan bahwa seseorang menjual solusi teknis, sedangkan yang lain menjual yang finansial . Ya, saya jauh lebih mempercayai Google / Yahoo / Verisign daripada saya percaya Washington Mutual
Sementara saya setuju dengan voretaq7 bahwa OpenID hanya seaman penyedia OpenID, saya harus mengatakan bahwa ketika memilih penyedia OpenID untuk digunakan, kehati-hatian harus diambil untuk memastikan bahwa Anda menggunakan penyedia yang memiliki reputasi baik. Gagasan yang sama ini berlaku untuk semua yang berkaitan dengan keamanan. Google, AOL, dan saya pikir Verisign sekarang menawarkan OpenID dan perusahaan / penyedia ini memiliki rekam jejak yang baik.
Salah satu keunggulan utama OpenID dibandingkan keamanan yang ditanamkan di rumah atau paket pihak ketiga lainnya adalah bahwa ia menempatkan aspek otentikasi keamanan di tangan perusahaan dengan lebih banyak pengalaman dan lebih banyak sumber daya untuk menanganinya daripada yang dimiliki kebanyakan entitas kecil. Mereka cenderung memiliki kemampuan yang lebih baik untuk melindungi server dan data mereka. Sebagai karyawan sebuah toko kecil, saya pasti akan lebih mempercayai Google daripada saya sendiri untuk mengkonfigurasi server, firewall, dll yang diperlukan untuk melindungi data ini.
Namun, OpenID juga rentan terhadap aspek paling berbahaya - pengguna yang memilih kredensial lemah.
abc123
kata sandi mereka ...
OpenID adalah cara untuk mendelegasikan otentikasi ke pihak ketiga. Untuk aplikasi kepercayaan tinggi seperti perbankan, kepada siapa Anda mendelegasikan otentikasi adalah keputusan keamanan utama. Protokol openID sebagaimana adanya sudah mencukupi untuk standar apa pun yang mengizinkan otentikasi satu faktor (token autent-token terbuka) atau otentikasi yang didelegasikan ke sistem yang memiliki perlindungan otentikasi yang memadai.
Pertanyaan selanjutnya: Apakah penyedia openID saat ini cukup aman untuk perbankan online?
Itu pertanyaan yang berbeda, dan mungkin negatif sekarang. Namun, tidak ada (teknis) menghentikan, katakanlah, konsorsium bank Amerika mengumpulkan sumber daya untuk membuat penyedia openID perbankan tunggal yang mengikuti standar yang dinyatakan dan diaudit. Penyedia openID itu dapat menggunakan metode otentikasi apa pun yang diperlukan, baik itu SiteKey, SecureID, gesek Kartu Cerdas, atau apa pun yang diminta. Saya menganggap kemungkinan ini tidak mungkin untuk bank komersial utama, tetapi komunitas Credit Union mungkin hanya mencobanya.
OpenID seaman terlemah dari (1) situs yang Anda coba masuki; (2) penyedia OpenID Anda; atau (3) sistem DNS.
Rekomendasi:
Kelemahan:
Konsekuensi langsung dari fakta ini adalah OpenID paling aman di situs yang Anda coba masuki; itu tidak pernah bisa lebih aman.
Dalam pengalihan protokol OpenID ke penyedia Anda berada di bawah kendali situs tempat Anda masuk, yang mengarah ke phishing sepele dan serangan manusia-di-tengah. Serangan semacam itu akan memungkinkan situs yang bermusuhan mencuri kredensial OpenID Anda tanpa Anda ketahui , yang kemudian dapat mereka gunakan untuk masuk ke situs lain yang mendukung OpenID seperti Anda.
Serangan DNS lebih rumit, tetapi akan memungkinkan penyerang meyakinkan bank Anda bahwa ia adalah penyedia OpenID Anda. Penyerang masuk menggunakan OpenID Anda, dan meminta penyedia palsu memberikan otorisasi kepada bank. Dalam hal ini penyerang tidak perlu menipu Anda atau mempelajari kata sandi Anda atau menginstal apa pun di komputer Anda - semua yang ia butuhkan adalah OpenID Anda.
Demikian pula serangan terhadap penyedia OpenID Anda akan memungkinkan penyerang untuk masuk saat Anda berada di situs yang mendukung OpenID, tanpa mengetahui kata sandi Anda.
Info lebih lanjut tentang kelemahan dan serangan OpenID di http://www.untrusted.ca/cache/openid.html .
OpenID adalah protokol. Protokolnya sangat aman, namun metode backend-auth tidak harus demikian. Anda dapat menjalankan portal OpenId yang akan memvalidasi pengguna dari kotak dos melalui telnet di Bangladesh.
Apakah cukup aman untuk perbankan? Iya. Bahkan saya berharap semua penyedia perbankan mengizinkannya. Selain itu, jika Anda ingin lebih mempercayai penyedia layanan perbankan dibandingkan dengan penyedia teknologi lainnya - bukankah lebih baik jika mereka menyediakannya ?