Ist die offene ID sicher?

9

Ist Open ID sicher, können Sie sich damit beispielsweise bei Bankkonten anmelden?

Daniel
quelle
1
Ja, 2.0 ist sehr sicher. Lesen Sie en.wikipedia.org/wiki/OpenID "OpenID bietet keine eigene Form der Authentifizierung. Wenn ein Identitätsanbieter jedoch eine starke Authentifizierung verwendet, kann OpenID für sichere Transaktionen wie Bankgeschäfte und E-Commerce verwendet werden."
Evan Carroll
1
Ja, ich denke die eigentliche Frage ist ... Ist Ihr OpenID-Anbieter sicher?
Andor

Antworten:

8

OpenID ist so sicher wie der OpenID-Anbieter (dh "Wenn jemand in Ihr Myspace-Konto einbricht, hat er Zugriff auf Ihre OpenID und alles, was sie verwendet").

Persönlich würde ich nichts Wertvolles anvertrauen. Die meisten OpenID-Anbieter haben eine ziemlich schlechte Sicherheitsbilanz.

voretaq7
quelle
1
Ich denke, Sie übersehen die Vorteile von OpenID und schreiben sie nur als Annehmlichkeit ab.
Evan Carroll
3
@Evan: OpenID hat viele Vorteile - tatsächlich verwende ich OpenID für die SO-Trilogie-Sites. Keiner der Vorteile negiert jedoch meine Sicherheitsbedenken, und ich würde der Sicherheit meines OpenID-Anbieters mit meinen Bankkontoinformationen sicherlich nicht vertrauen :-)
voretaq7
2
Sicher, wie wäre es OpenID is as secure as the OpenID provider, X is as secure as the X providerwenn Sie Ihre Aussage auf Folgendes reduzieren : In diesem Fall geben Sie überhaupt nichts an. Ihre Aussage ist zwar richtig, aber verrückt: Ich denke, jeder, der über ausreichende Kenntnisse verfügt, um OpenID einzurichten und zu warten, ist wahrscheinlich mindestens so qualifiziert wie eine Bank, da der eine eine technische Lösung verkauft, während der andere eine finanzielle verkauft . Ja, ich vertraue Google / Yahoo / Verisign viel mehr als Washington Mutual
Evan Carroll
3
@Evan - Jeder Dienst ist per Definition nur so sicher wie der Anbieter. Meiner Meinung nach bietet OpenID, obwohl es ein wertvolles Protokoll ist, keine ausreichenden strukturellen Garantien für die Sicherheit seiner Anbieter, damit ich ihm bei der kritischen Authentifizierung vertrauen kann. Es steht Ihnen frei, meiner Einschätzung nicht zuzustimmen, aber ich stehe hinter dem, was ich gesagt habe.
voretaq7
3
@Evan, Sie scheinen ziemlich leidenschaftlich über dieses Thema zu sein, sogar bis zu dem Punkt, besessen zu sein. Vielleicht müssen Sie einen Schritt zurücktreten und einen anderen Blick darauf werfen. Die Tatsache, dass SIE OpenID vertrauen, macht es nicht sicher. Wir sind nicht die Ersten, die dem misstrauen, und wir werden sicherlich nicht die Letzten sein. Der Convenience-Faktor ist nicht das Thema der Frage.
John Gardeniers
5

Obwohl ich voretaq7 zustimme, dass OpenID nur so sicher ist wie der OpenID-Anbieter, muss ich sagen, dass bei der Auswahl eines zu verwendenden OpenID-Anbieters darauf geachtet werden muss, dass Sie einen seriösen Anbieter verwenden. Die gleiche Idee gilt für alles, was mit Sicherheit zu tun hat. Google, AOL und ich denke, sogar Verisign bietet jetzt OpenIDs an, und diese Unternehmen / Anbieter haben eine gute Erfolgsbilanz.

Einer der Hauptvorteile von OpenID gegenüber selbst entwickelter Sicherheit oder einem anderen Paket von Drittanbietern besteht darin, dass der Authentifizierungsaspekt der Sicherheit in die Hände von Unternehmen gelegt wird, die über mehr Erfahrung und mehr Ressourcen verfügen als die meisten kleineren Unternehmen. Sie haben tendenziell eine bessere Fähigkeit, ihre Server und Daten zu schützen. Als Mitarbeiter eines kleinen Geschäfts würde ich Google sicherlich mehr als mir selbst vertrauen, um die zum Schutz dieser Daten erforderlichen Server, Firewalls usw. korrekt zu konfigurieren.

OpenID ist jedoch genauso anfällig für den gefährlichsten Aspekt von allen - die Benutzer, die schwache Anmeldeinformationen auswählen.

DCNYAM
quelle
1
Google, Verisign usw. bieten wahrscheinlich "einigermaßen sichere" OpenIDs an, aber jeder kann ein OpenID-Anbieter sein, und das gesamte Konzept von OpenID (so wie ich es verstehe) besteht darin, eine gültige OpenID von einem beliebigen Anbieter zu akzeptieren, damit die Benutzer keine haben um eine Reihe von verschiedenen Konten einzurichten. Jemand, der einen unsicheren OpenID-Anbieter auswählt (oder einen mit unsicherer Kennwortwiederherstellung), könnte fast so gefährlich sein wie Benutzer, die abc123ihre Kennwörter verwenden ...
voretaq7
2
Es scheint, dass die einzige gefährliche Person der Benutzer ist. Sie sind diejenigen, die auswählen, wie das Passwort lautet, ob sie OpenID verwenden und wer es sein soll. Sollte es unsere Verantwortung sein, sie vor sich selbst zu schützen?
Chris
2
Wenn Sie einen Dienst ausführen, der OpenIDs zur Authentifizierung akzeptiert, können Sie leicht nicht vertrauenswürdige Anbieter auf die schwarze Liste setzen oder bekannte gute Anbieter auf die weiße Liste setzen. Auf diese Weise können Sie Anbieter vermeiden, bei denen Benutzer ein unsicheres Kennwort festlegen können.
GAThrawn
1
@ Chris: Solange wir vor dem Schuldsturm stehen müssen, wenn ein Account kompromittiert wird, ja - zumindest teilweise. (Aus diesem Grund haben einige Websites Kennwortrichtlinien wie "> = 8 Zeichen, alphanumerisch + mindestens 1 Sonderzeichen").
voretaq7
@ voretaq7: Jeder kann auch eine Bank sein.
Evan Carroll
5

OpenID ist eine Möglichkeit, die Authentifizierung an Dritte zu delegieren. Für eine Anwendung mit hohem Vertrauen wie das Bankwesen ist es eine wichtige Sicherheitsentscheidung, an wen Sie die Authentifizierung delegieren. Das derzeitige openID-Protokoll reicht für jeden Standard aus, der entweder eine Einzelfaktorauthentifizierung (das openID-Authentifizierungstoken) oder eine delegierte Authentifizierung an ein System mit ausreichenden Authentifizierungsgarantien zulässt.

Die nächste Frage: Sind aktuelle openID-Anbieter sicher genug für Online-Banking?

Das ist eine andere Frage und im Moment wahrscheinlich negativ. Es gibt jedoch nichts (Technisches), was beispielsweise ein Konsortium amerikanischer Banken daran hindert, Ressourcen zu bündeln, um einen einzigen OpenID-Anbieter für Banken zu schaffen, der einem festgelegten Standard folgt und geprüft wird. Dieser openID-Anbieter kann alle erforderlichen Authentifizierungsmethoden verwenden, sei es SiteKey, SecureID, Smart Card Swipe oder was auch immer erforderlich ist. Ich halte diese Möglichkeit für die großen Geschäftsbanken für unwahrscheinlich, aber die Community der Credit Union könnte es einfach versuchen.

sysadmin1138
quelle
1
Ich würde VeriSign PIP und wahrscheinlich MyOpenID als sicher genug für das Banking betrachten.
Benutzer1686
2

OpenID ist so sicher wie die schwächste von (1) der Site, bei der Sie sich anmelden möchten. (2) Ihr OpenID-Anbieter; oder (3) das DNS-System.

Empfehlung:

  • Verwenden Sie das von Ihrer Bank empfohlene Sicherheits- / Anmeldesystem und verstehen Sie die Nutzungsbedingungen, damit Sie Ihre Rechte kennen, wenn Ihr Konto kompromittiert wird.
  • Ermutigen Sie Ihre Bank nicht, OpenID einzuführen, da dies die Sicherheit ihres Dienstes beeinträchtigt.

Schwächen:

Eine unmittelbare Folge dieser Tatsache ist, dass OpenID bestenfalls so sicher sein kann wie die Site, bei der Sie sich anmelden möchten. es kann nie sein mehr sicher.

Im OpenID-Protokoll wird die Umleitung zu Ihrem Provider von der Site gesteuert, bei der Sie sich anmelden. Dies führt zu trivialem Phishing und Man-in-the-Middle-Angriffen. Solche Angriffe ermöglichen es einer feindlichen Site, Ihre OpenID-Anmeldeinformationen zu stehlen, ohne dass Sie es wissen . Diese können sie später verwenden, um sich bei einer anderen OpenID-fähigen Site anzumelden.

DNS-Angriffe sind komplizierter, ermöglichen es einem Angreifer jedoch, Ihre Bank davon zu überzeugen, dass er Ihr OpenID-Anbieter ist. Der Angreifer meldet sich mit Ihrer OpenID an und lässt die Bank von seinem gefälschten Anbieter autorisieren. In diesem Fall muss der Angreifer Sie nicht fischen oder Ihr Passwort lernen oder irgendetwas auf Ihrem Computer installieren - alles, was er braucht, ist Ihre OpenID.

In ähnlicher Weise ermöglicht ein Angriff auf Ihren OpenID-Anbieter dem Angreifer, sich wie Sie auf einer OpenID-fähigen Site anzumelden, ohne Ihr Kennwort zu kennen.

Weitere Informationen zu OpenID-Schwachstellen und -Angriffen finden Sie unter http://www.untrusted.ca/cache/openid.html .

Twylite
quelle
1

OpenID ist ein Protokoll. Das Protokoll ist sehr sicher, die Backend-Auth-Methode muss es jedoch nicht sein. Sie können ein OpenId-Portal ausführen, das einen Benutzer aus einer Dos-Box über Telnet in Bangladesch überprüft.

Ist es sicher genug für das Bankgeschäft? Ja. Tatsächlich wünschte ich, alle Bankanbieter würden es zulassen. Wenn Sie Bankanbietern mehr vertrauen möchten als anderen Technologieanbietern, wäre es nicht schön, wenn sie diese bereitstellen würden ?

Evan Carroll
quelle
1
Nur weil eine Bank mit Ihrem Geld betraut ist, sind sie dann für den Umgang mit digitalen Identitäten qualifiziert?
Chris
1
@chris: Nein, das tut es nicht. aber das scheint der trend für diesen thread zu sein. Ich möchte lieber, dass Banken beim Umgang mit Geld bleiben und Google für die Verwaltung meiner Authentifizierung verwenden. Der Punkt ist, es spielt keine Rolle, wem Sie vertrauen, jemand anderem als der Bank oder der Bank: Wenn jede Bank ein OpenID-Anbieter und -Konsument wäre, könnten Sie ihre Authentifizierung bei Google oder bei Google in der Bank verwenden - OpenID ist gerecht das Protokoll, damit sie kommunizieren können.
Evan Carroll