È qualcosa che può essere utilizzato per informazioni altamente sicure o dovrebbe essere bypassato per un singolo sistema di autenticazione del sito? Questa potrebbe essere una domanda stupida (in quanto non sembra sicura) ma vorrei qualche consiglio.Quanto è sicuro openID?
OpenID non è meno sicuro del login utente tradizionale + password.
Ovviamente, si sta affidando una grande parte della sicurezza al provider - ad es. prevenzione della forza bruta, politica della dimensione della password, ecc.
Non lo utilizzerebbe per l'online banking, ad esempio, non mentre il protocollo OpenID stesso non è sicuro, ma a causa del caso d'uso.
altamente sicuro informazioni
Info finanziarie? DoD Top Secret? Le informazioni realmente sicure non sono disponibili via Internet, solo sulla rete locale o tramite una VPN, che sta spostando un blocco della sicurezza a livello di rete. Le informazioni realmente sicure sono su un computer senza connessione di rete ...
C'è la teoria che l'utente, avendo solo una password da usare per il suo account OpenID, abbia la possibilità di scegliere una password decente, meno probabile quando devono ricordare le password x.
OpenID stesso è sicuro, tuttavia a causa della sua natura decentralizzata spesso presuppone che tre server siano "attendibili". Se questi server non sono affidabili, la tua sicurezza non c'è più.
Per esempio, se si utilizza il proprio sito web come un identificatore, ma delega l'autenticazione a un provider di terze parti, quindi se il vostro sito, o il provider di identità, o server consumatore è penetrato, quindi le informazioni sono non sicuro.
Se si desidera utilizzare OpenID internamente e utilizzare solo il proprio server sicuro come provider OpenID, allora si dovrebbe essere abbastanza sicuro. Ma se vuoi che le persone "portino il loro account OpenID" allora OpenID non è la scelta giusta.
+1 La maggior parte delle persone utilizza un'identità OpenID fornita da Google, Yahoo, ecc., Quindi, per lo meno, in teoria Google potrebbe irrompere in alcuni degli account utente del proprio sito. (L'uso di OpenID internamente è un'idea interessante, anche se in realtà probabilmente sceglierai un modello di sicurezza più centralizzato, ad esempio Kerberos o Standford WebAuth). –
In generale, non è più né meno sicuro della normale autenticazione utente/password, ma con una differenza principale (IMO). OpenID consente a un utente di accedere tramite diversi metodi (Google, AOL, Yahoo, ecc.). Se qualcuno dovesse romperlo, dovrebbero andare dopo ogni singolo servizio. Hai la possibilità di non consentire a determinati servizi di partecipare, nel caso in cui ne trovi uno meno sicuro.
OpenID è tecnicamente valido, ma può essere sconcertante per alcuni utenti. Consiglio di sfogliare le risposte alla domanda this. Per informazioni molto private sarei cauto sull'utilizzo di OpenID perché:
Dal momento che l'accesso viene utilizzato così ampiamente e così frequentemente ci sono più opportunità per la password da comunicare accidentalmente. Una preoccupazione particolare sarebbe se un altro sito abilitato per OpenID che l'utente è registrato in un giorno chieda loro la propria password effettiva ... alcuni utenti potrebbero entrarvi senza pensare, non rendendosi conto che stanno aggirando il modello di sicurezza OpenId.
Se si si ha dubbi sulla sicurezza di OpenID, gli utenti potrebbero anche avere questi dubbi.Dal punto di vista del business, vale la pena rischiare di essere percepito come non sicuro?? (Naturalmente, questo è almeno meglio che il contrario - problemi di sicurezza percepito come sicuro!)
v'è una tendenza verso l'offerta di login OpenID su siti di social networking e tale, ma dubito che ci vedrà che viene adottato molto per proteggere i dati estremamente sensibili.
Cosa suona "non sicuro" a riguardo? –
Il fatto che suona come se fosse così facile da impiantare, e ci si basa sull'altro sito per eseguire correttamente l'autenticazione. – John