Apakah login OpenID dikompromikan dengan pelanggaran Forum Ubuntu?

18

Jujur saya tidak ingat apa yang saya gunakan untuk login ke Forum Ubuntu, tapi saya cukup yakin itu OpenID. Haruskah saya khawatir?

ubuntu-forums

— georgebrindeiro
sumber

4

Pemilih dekat OT: Pertanyaan ini jelas sesuai topik; kami membantu orang-orang dengan sumber daya komunitas Ubuntu di sini ( "Layanan disediakan oleh Ubuntu" ). Selain itu, ini bukan milik meta , yang hanya untuk pertanyaan tentang Tanya Ubuntu itu sendiri (bukan tentang situs terkait Ubuntu lainnya). Ini mungkin dianggap duplikat dari pertanyaan sebelumnya ini . Jika kami menutup salah satu dari ini sebagai duplikat dari yang lain, saya sarankan untuk menggabungkan jawaban mereka.

— Eliah Kagan

Tentang menggabungkan jawaban: Saya telah melihat pertanyaan lain tetapi tidak tahu apakah itu berlaku untuk kasus saya, jujur saja.

— georgebrindeiro

15

Karena login OpenID selalu diproses pada sisi penerbit (misalnya, jika Anda menggunakan OpenID yang Anda dapatkan dari Launchpad, maka Forum akan menghubungi Launchpad dan itu adalah Launchpad yang memproses otentikasi Anda), Forum tidak menyimpan kata sandi OpenID Anda (mereka tidak sama sekali tidak membutuhkannya).

Oleh karena itu, yang bisa didapatkan oleh semua penyerang adalah login OpenID Anda, tetapi bukan kata sandi, karena itu tidak benar-benar ada.

Juga, hanya untuk kelengkapan, menurut pengumuman resmi ini , hanya Forum yang terpengaruh, tidak ada layanan lain.

— Rafał Cieślak
sumber

1

Bukan hanya karena mereka tidak perlu menyimpannya - mereka bahkan tidak bisa menyimpannya sebagai pihak yang mengandalkan OpenID yang baik tidak pernah melihat kata sandi pengguna.

— Martin Thoma

8

Dari http://openid.net/

Dengan OpenID, kata sandi Anda hanya diberikan kepada penyedia identitas Anda, dan penyedia itu kemudian mengonfirmasi identitas Anda ke situs web yang Anda kunjungi. Selain penyedia Anda, tidak ada situs web yang pernah melihat kata sandi Anda, jadi Anda tidak perlu khawatir tentang situs web yang tidak bermoral atau tidak aman yang membahayakan identitas Anda.

Penyedia identitas misalnya Google dan situs web yang Anda kunjungi adalah UF.

Jadi ya Anda harus aman.

— Rinzwind
sumber

3

Secara umum (setahu saya, setidaknya) ketika menggunakan akun Open ID untuk masuk, otentikasi ditangani murni oleh situs web eksternal (jadi misalnya, jika saya harus menggunakan Facebook untuk masuk di sini, otentikasi akan ditangani murni oleh Facebook dan bukan oleh Ask Ubuntu). Situs lain hanya memberikan pengenal unik yang memberi tahu Ubuntu Forum / Ask Ubuntu / apa pun diri Anda, dan tidak menyampaikan detail login Anda.

Jadi kata sandi yang disimpan (+ hash dan salin) oleh forum Ubuntu hanya untuk akun lokal (seperti yang disebutkan dalam bagian "Apa yang kita ketahui" di halaman pemeliharaan saat ini)

Tentu saja jika Anda masih khawatir tentang hal itu, tidak ada salahnya untuk mengubah kata sandi Anda - dan untuk ketenangan pikiran mungkin akan menjadi ide yang baik untuk melakukannya - tetapi sejauh yang saya ketahui kecuali layanan yang Anda gunakan untuk mengotentikasi Open ID Anda telah dilanggar (Google, Facebook, dll) seharusnya tidak ada terlalu banyak alasan untuk khawatir.

Lihat halaman ini di situs web OpenID untuk perincian lebih lanjut.

— Jez W
sumber

1

Jika Anda benar-benar menggunakan OpenID: Tidak .

Proses masuk dijalankan antara penyedia OpenID Anda dan Anda. Layanan yang memungkinkan Anda menggunakan OpenID bahkan tidak melihat kata sandi Anda! Tidak ada kemungkinan bagaimana ubuntuforums dapat menyimpan kata sandi Anda.

Sumber daya OpenID

Sumber daya berikut mungkin membantu Anda untuk memahami cara kerja OpenID.

Sebuah video YouTube yang
Wikipedia
Banyak konten dari Google tentang OpenID (Gambarnya sangat bagus)

— Martin Thoma
sumber