L'identifiant ouvert est-il sécurisé, par exemple, pouvez-vous l'utiliser pour vous connecter à des comptes bancaires?
L'identifiant ouvert est-il sécurisé, par exemple, pouvez-vous l'utiliser pour vous connecter à des comptes bancaires?
Réponses:
OpenID est aussi sécurisé que le fournisseur OpenID (c'est-à-dire "Si quelqu'un pénètre dans votre compte Myspace, il a accès à votre OpenID et à tout ce qui l'utilise").
Personnellement, je ne lui ferais pas confiance avec quelque chose de précieux. La plupart des fournisseurs OpenID ont un bilan de sécurité assez moche.
OpenID is as secure as the OpenID provider
, à X is as secure as the X provider
: dans ce cas , vous n'êtes pas en indiquant quoi que ce soit. Bien que votre déclaration soit vraie, elle est stupide: je pense que toute personne possédant les connaissances suffisantes pour créer et maintenir OpenID est probablement au moins aussi qualifiée qu'une banque au mérite qu'une vende une solution technique, tandis que l'autre vend une solution financière. . Oui, je fais beaucoup plus confiance à Google / Yahoo / Verisign qu'à Washington Mutual
Bien que je convienne avec voretaq7 qu'OpenID n'est aussi sécurisé que le fournisseur OpenID, je dois dire que lors de la sélection d'un fournisseur OpenID à utiliser, il faut veiller à ce que vous utilisiez un fournisseur de bonne réputation. Cette même idée s'applique à tout ce qui concerne la sécurité. Google, AOL et je pense que même Verisign propose désormais des OpenID et ces sociétés / fournisseurs ont un bon bilan.
L'un des principaux avantages d'OpenID par rapport à la sécurité locale ou à un autre package tiers est qu'il met l'aspect authentification de la sécurité entre les mains d'entreprises ayant plus d'expérience et plus de ressources pour le gérer que la plupart des petites entités. Ils ont généralement une meilleure capacité à protéger leurs serveurs et leurs données. En tant qu'employé d'une petite boutique, je ferais certainement confiance à Google plus qu'à moi pour configurer correctement les serveurs, les pare-feu, etc. nécessaires pour protéger ces données.
Cependant, OpenID est tout aussi vulnérable à l'aspect le plus dangereux de tous - les utilisateurs qui choisissent des informations d'identification faibles.
abc123
comme mot de passe ...
OpenID est un moyen de déléguer l'authentification à un tiers. Pour une application hautement fiable comme la banque, à qui vous déléguez l'authentification est une décision de sécurité majeure et majeure. Le protocole openID tel qu'il est est suffisant pour toute norme qui permet soit l'authentification à facteur unique (le jeton d'authentification openID) ou l'authentification déléguée à un système qui dispose de garanties d'authentification suffisantes.
La question suivante: les fournisseurs openID actuels sont - ils suffisamment sécurisés pour les opérations bancaires en ligne?
C'est une question différente, et elle est probablement négative en ce moment. Cependant, rien (technique) n'empêche, par exemple, un consortium de banques américaines de mettre en commun leurs ressources pour créer un fournisseur d'openID bancaire unique qui respecte une norme définie et est audité. Ce fournisseur openID peut utiliser toutes les méthodes d'authentification dont il a besoin, qu'il s'agisse de SiteKey, SecureID, de la carte à puce ou de tout autre élément requis. Je considère cette possibilité peu probable pour les grandes banques commerciales, mais la communauté des coopératives de crédit pourrait bien l'essayer.
OpenID est aussi sécurisé que le plus faible (1) du site auquel vous essayez de vous connecter; (2) votre fournisseur OpenID; ou (3) le système DNS.
Recommandation:
Faiblesses:
Une conséquence immédiate de ce fait est qu'OpenID peut au mieux être aussi sécurisé que le site auquel vous essayez de vous connecter; il ne peut jamais être plus sûr.
Dans le protocole OpenID, la redirection vers votre fournisseur est sous le contrôle du site auquel vous vous connectez, ce qui conduit à des attaques de phishing et de man-in-the-middle triviales. De telles attaques permettront à un site hostile de voler vos informations d'identification OpenID à votre insu , qu'ils pourront ensuite utiliser plus tard pour vous connecter à tout autre site compatible OpenID comme vous.
Les attaques DNS sont plus compliquées, mais permettront à un attaquant de convaincre votre banque qu'il est votre fournisseur OpenID. L'attaquant se connecte en utilisant votre OpenID, et son faux fournisseur donne une autorisation à la banque. Dans ce cas, l'attaquant n'a pas besoin de vous hameçonner ou d'apprendre votre mot de passe ou d'installer quoi que ce soit sur votre ordinateur - tout ce dont il a besoin est votre OpenID.
De même, une attaque contre votre fournisseur OpenID permettra à l'attaquant de se connecter en tant que vous sur n'importe quel site compatible OpenID, sans connaître votre mot de passe.
Plus d'informations sur les faiblesses et les attaques d'OpenID à http://www.untrusted.ca/cache/openid.html .
OpenID est un protocole. Le protocole est très sécurisé, mais la méthode backend-auth ne doit pas l'être. Vous pouvez exécuter un portail OpenId qui validera un utilisateur à partir d'une boîte de dos sur telnet au Bangladesh.
Est-il suffisamment sécurisé pour les opérations bancaires? Oui. En fait, je souhaite que tous les prestataires bancaires le permettent. De plus, si vous voulez faire plus confiance aux fournisseurs bancaires qu'aux autres fournisseurs de technologie - ne serait-il pas agréable de les fournir ?