Apakah id terbuka aman?

9

Apakah ID terbuka aman, misalnya dapatkah Anda menggunakannya untuk masuk ke rekening bank?

security  openid 
Daniel
sumber
1
Ya, 2.0 sangat aman. Bacalah en.wikipedia.org/wiki/OpenID "OpenID tidak menyediakan bentuk autentikasi sendiri, tetapi jika penyedia identitas menggunakan otentikasi yang kuat, OpenID dapat digunakan untuk transaksi aman seperti perbankan dan e-commerce."
Evan Carroll
1
Ya, saya pikir pertanyaan sebenarnya adalah ... Apakah penyedia OpenID Anda aman?
Andor

Jawaban:

8

OpenID seaman penyedia OpenID (yaitu "Jika seseorang masuk ke akun Myspace Anda, mereka punya akses ke OpenID Anda & semua yang menggunakannya").

Secara pribadi saya tidak akan mempercayainya dengan sesuatu yang berharga. Sebagian besar penyedia OpenID memiliki rekam jejak keamanan yang cukup buruk.

voretaq7
sumber
1
Saya pikir Anda mengabaikan keunggulan OpenID dan menghapusnya hanya sebagai kenyamanan.
Evan Carroll
3
@Van: OpenID memiliki banyak keuntungan - sebenarnya saya menggunakan OpenID untuk situs trilogi SO. Namun, tidak ada keuntungan yang meniadakan masalah keamanan saya, dan saya pasti tidak akan mempercayai keamanan penyedia OpenID saya dengan informasi rekening bank saya :-)
voretaq7
2
Tentu mereka melakukannya, bagaimana dengan mengurangi pernyataan Anda OpenID is as secure as the OpenID provider, menjadi X is as secure as the X provider: dalam hal ini Anda tidak menyatakan apa-apa sama sekali. Walaupun pernyataan Anda benar, itu tidak masuk akal: Saya pikir siapa pun yang memiliki pengetahuan cukup untuk mengatur dan memelihara OpenID mungkin paling tidak memenuhi syarat sebagai bank berdasarkan kepantasan bahwa seseorang menjual solusi teknis, sedangkan yang lain menjual yang finansial . Ya, saya jauh lebih mempercayai Google / Yahoo / Verisign daripada saya percaya Washington Mutual
Evan Carroll
3
@Van - Setiap layanan menurut definisi hanya seaman penyedia. Pendapat saya adalah bahwa OpenID, meskipun merupakan protokol yang berharga, tidak menawarkan jaminan struktural yang memadai mengenai keamanan penyedianya bagi saya untuk mempercayainya untuk otentikasi kritis. Anda bebas untuk tidak setuju dengan penilaian saya, tetapi saya berdiri di belakang apa yang saya katakan.
voretaq7
3
@Van, Anda tampaknya agak bersemangat tentang hal ini, bahkan sampai terobsesi. Mungkin Anda perlu mengambil langkah mundur dan melihat lagi. Fakta bahwa ANDA mempercayai OpenID tidak membuatnya aman. Kami bukan yang pertama yang tidak mempercayai itu dan tentu saja tidak akan menjadi yang terakhir. Sedangkan untuk faktor kenyamanan, itu bukan topik pertanyaan.
John Gardeniers
5

Sementara saya setuju dengan voretaq7 bahwa OpenID hanya seaman penyedia OpenID, saya harus mengatakan bahwa ketika memilih penyedia OpenID untuk digunakan, kehati-hatian harus diambil untuk memastikan bahwa Anda menggunakan penyedia yang memiliki reputasi baik. Gagasan yang sama ini berlaku untuk semua yang berkaitan dengan keamanan. Google, AOL, dan saya pikir Verisign sekarang menawarkan OpenID dan perusahaan / penyedia ini memiliki rekam jejak yang baik.

Salah satu keunggulan utama OpenID dibandingkan keamanan yang ditanamkan di rumah atau paket pihak ketiga lainnya adalah bahwa ia menempatkan aspek otentikasi keamanan di tangan perusahaan dengan lebih banyak pengalaman dan lebih banyak sumber daya untuk menanganinya daripada yang dimiliki kebanyakan entitas kecil. Mereka cenderung memiliki kemampuan yang lebih baik untuk melindungi server dan data mereka. Sebagai karyawan sebuah toko kecil, saya pasti akan lebih mempercayai Google daripada saya sendiri untuk mengkonfigurasi server, firewall, dll yang diperlukan untuk melindungi data ini.

Namun, OpenID juga rentan terhadap aspek paling berbahaya - pengguna yang memilih kredensial lemah.

DCNYAM
sumber
1
Google, Verisign, dll. Mungkin menyediakan OpenID "cukup aman", tetapi siapa pun dapat menjadi penyedia OpenID, dan seluruh konsep OpenID (seperti yang saya mengerti) adalah untuk menerima OpenID yang valid dari penyedia mana pun sehingga orang tidak memiliki untuk mengatur banyak akun yang berbeda. Seseorang yang memilih penyedia OpenID yang tidak aman (atau penyedia dengan pemulihan kata sandi yang tidak aman) bisa hampir sama berbahayanya dengan pengguna yang menggunakan abc123kata sandi mereka ...
voretaq7
2
Tampaknya satu-satunya orang berbahaya di sekitar adalah pengguna. Mereka adalah orang-orang yang memilih kata sandi itu, apakah mereka menggunakan OpenID dan siapa yang seharusnya. Haruskah menjadi tanggung jawab kita untuk melindungi mereka dari diri mereka sendiri?
Chris
2
Jika Anda menjalankan layanan yang menerima OpenID untuk otentikasi, Anda dapat dengan mudah daftar hitam penyedia yang tidak dapat dipercaya, atau daftar putih penyedia yang dikenal baik. Dengan begitu Anda dapat menghindari penyedia yang memungkinkan pengguna untuk mengatur kata sandi tidak aman.
Diambil
1
@ Chris: Selama kita harus berdiri di depan badai menyalahkan ketika akun dikompromikan, ya - setidaknya sebagian. (Itulah sebabnya beberapa situs memiliki kebijakan kata sandi seperti "> = 8 karakter, alfanumerik + setidaknya 1 karakter khusus").
voretaq7
@ voretaq7: siapa pun bisa menjadi Bank juga.
Evan Carroll
5

OpenID adalah cara untuk mendelegasikan otentikasi ke pihak ketiga. Untuk aplikasi kepercayaan tinggi seperti perbankan, kepada siapa Anda mendelegasikan otentikasi adalah keputusan keamanan utama. Protokol openID sebagaimana adanya sudah mencukupi untuk standar apa pun yang mengizinkan otentikasi satu faktor (token autent-token terbuka) atau otentikasi yang didelegasikan ke sistem yang memiliki perlindungan otentikasi yang memadai.

Pertanyaan selanjutnya: Apakah penyedia openID saat ini cukup aman untuk perbankan online?

Itu pertanyaan yang berbeda, dan mungkin negatif sekarang. Namun, tidak ada (teknis) menghentikan, katakanlah, konsorsium bank Amerika mengumpulkan sumber daya untuk membuat penyedia openID perbankan tunggal yang mengikuti standar yang dinyatakan dan diaudit. Penyedia openID itu dapat menggunakan metode otentikasi apa pun yang diperlukan, baik itu SiteKey, SecureID, gesek Kartu Cerdas, atau apa pun yang diminta. Saya menganggap kemungkinan ini tidak mungkin untuk bank komersial utama, tetapi komunitas Credit Union mungkin hanya mencobanya.

sysadmin1138
sumber
1
Saya akan mempertimbangkan VeriSign PIP dan mungkin MyOpenID cukup aman untuk perbankan.
user1686
2

OpenID seaman terlemah dari (1) situs yang Anda coba masuki; (2) penyedia OpenID Anda; atau (3) sistem DNS.

Rekomendasi:

  • Gunakan sistem keamanan / login yang direkomendasikan bank Anda, dan pahami syarat & ketentuan layanan sehingga Anda mengetahui hak-hak Anda jika akun Anda dikompromikan.
  • Jangan mendorong bank Anda untuk mengadopsi OpenID, karena ini akan mengurangi keamanan layanan mereka.

Kelemahan:

Konsekuensi langsung dari fakta ini adalah OpenID paling aman di situs yang Anda coba masuki; itu tidak pernah bisa lebih aman.

Dalam pengalihan protokol OpenID ke penyedia Anda berada di bawah kendali situs tempat Anda masuk, yang mengarah ke phishing sepele dan serangan manusia-di-tengah. Serangan semacam itu akan memungkinkan situs yang bermusuhan mencuri kredensial OpenID Anda tanpa Anda ketahui , yang kemudian dapat mereka gunakan untuk masuk ke situs lain yang mendukung OpenID seperti Anda.

Serangan DNS lebih rumit, tetapi akan memungkinkan penyerang meyakinkan bank Anda bahwa ia adalah penyedia OpenID Anda. Penyerang masuk menggunakan OpenID Anda, dan meminta penyedia palsu memberikan otorisasi kepada bank. Dalam hal ini penyerang tidak perlu menipu Anda atau mempelajari kata sandi Anda atau menginstal apa pun di komputer Anda - semua yang ia butuhkan adalah OpenID Anda.

Demikian pula serangan terhadap penyedia OpenID Anda akan memungkinkan penyerang untuk masuk saat Anda berada di situs yang mendukung OpenID, tanpa mengetahui kata sandi Anda.

Info lebih lanjut tentang kelemahan dan serangan OpenID di http://www.untrusted.ca/cache/openid.html .

Twylite
sumber
1

OpenID adalah protokol. Protokolnya sangat aman, namun metode backend-auth tidak harus demikian. Anda dapat menjalankan portal OpenId yang akan memvalidasi pengguna dari kotak dos melalui telnet di Bangladesh.

Apakah cukup aman untuk perbankan? Iya. Bahkan saya berharap semua penyedia perbankan mengizinkannya. Selain itu, jika Anda ingin lebih mempercayai penyedia layanan perbankan dibandingkan dengan penyedia teknologi lainnya - bukankah lebih baik jika mereka menyediakannya ?

Evan Carroll
sumber
1
Hanya karena bank dipercayakan dengan uang Anda, apakah itu membuat mereka memenuhi syarat untuk menangani identitas digital?
Chris
1
@ Chris: Tidak, tidak. tapi itu tampaknya menjadi tren untuk utas ini. Saya lebih suka bank tetap memegang uang dan menggunakan google untuk menangani otentikasi saya. Intinya adalah, tidak masalah siapa yang Anda percayai, orang lain selain bank, atau bank: jika setiap bank adalah penyedia dan konsumen openid Anda dapat menggunakan otentikasi mereka di google, atau google di bank - OpenID hanya protokol untuk mengizinkan mereka berkomunikasi.
Evan Carroll
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.