Google utilizza gli indirizzi di posta elettronica come stringhe di accesso OpenID per il proprio servizio provider.Perché è pericoloso usare un indirizzo email come OpenID?
Stavo leggendo di una conferenza in cui stavano spingendo per averlo incorporato nello standard. Microsoft era contraria a questa, la ragione "ufficiale" sono le vulnerabilità di sicurezza che presumibilmente introdurrebbe. Questo è falso? In caso contrario, perché è insicuro?
Il pericolo di utilizzare l'indirizzo e-mail è che è probabile. O piuttosto che qualcuno che vuole rompere il tuo account probabilmente lo saprà.
Confrontalo con la situazione attuale in cui il tuo nome utente e il tuo provider OpenID potrebbero essere qualsiasi cosa. Forse è probabile, forse non lo è. Se non lo è, è solo un po 'più difficile compromettere il tuo account.
Alcune persone sembrano avere un problema con questo. Guarda, è piuttosto semplice. Non ho detto che un nome utente non ovvio è di per sé sufficiente sicurezza. Lontano da esso. La sicurezza attraverso l'oscurità non è affatto una sicurezza.
Tuttavia, è puro buon senso che fuori:
che (1) è, nel peggiore dei casi, ugualmente sicuro a (2) e nella migliore delle ipotesi è più sicuro.
Inoltre, se la tua e-mail è la tua password, se comprometti l'indirizzo e-mail di qualcuno puoi potenzialmente compromettere ogni sistema che lo utilizza come un nome utente è più facilmente compromesso sia in virtù di "Forget Password?" collegamenti e il fatto che una password utilizzata in un posto sia più probabile che venga utilizzata in un altro.
Scusa ma questo è solo senso comune.
Questo va contro il concetto di divulgazione minima. In questo momento se una parte relatrice OpenID vuole che il tuo indirizzo email lo chieda e sei avvisato di questo dal provider di identità e ti viene chiesto di confermarlo. L'uso dell'indirizzo e-mail significa che va o meno che ti piaccia o meno, a meno che tu non stia usando OpenID 2.0 che può generare valori univoci su una base per partito.
Sarebbe anche un grande cambiamento per tutte le librerie OpenID - Gli URL sono individuabili, sai dove andare con loro, gli indirizzi e-mail non lo sono, ed è per questo che c'è stata indignazione in Google a fare unilateralmente questo ed efficacemente aprire l'OpenID standard per soddisfare se stessi.
L'altro problema sta nel phishing. OpenID è molto vulnerabile in quanto gli utenti si fidano della relying party per reindirli al proprio provider dopo averlo scoperto tramite OpenID fornito, quindi una parte relying "maliziosa" può reindirizzare a un sito di phishing che salva OpenID e la password. Con Google l'OpenID e la password sono il tuo account e la tua password Gmail, quindi non solo hai perso il controllo del tuo OpenID ma anche il tuo account e-mail. Naturalmente questo potrebbe essere assicurato dal provider - potreste avere password e-mail separate e password OpenID, potreste avere un messaggio segreto per utente che mostrate sulla pagina di login OpenID, ma come sappiamo bene gli utenti sono stupidi. Non controllano gli URL nel browser, cliccano ciecamente su OK nelle finestre di dialogo, semplicemente non pensano che una pagina web possa essere falsa. Utilizzando l'indirizzo email e la stessa password, Google espone la maggior parte dei propri utenti a un rischio inaccettabile.
+1 per identificare il problema di divulgazione minima -1 per aver accusato Google di aprire OpenID 2.0 quando in realtà seguono il protocollo (eccetto la delega). –
L'implementazione iniziale di google non era un fork? Aveva il passaggio di scoperta extra solo per loro, dove dovevi parlare con google per ottenere l'endpoint? – blowdart
Quindi, se è probabile? Hai ancora bisogno della password. Non è quello che stai descrivendo [sicurezza attraverso l'oscurità] (http://en.wikipedia.org/wiki/special:search/security_through_obscurity)? – Joe
@Joe: assolutamente. Se la tua sicurezza si basa anche * leggermente * sulle persone che non indovinano il tuo nome utente, non stai facendo bene. – skaffman