Besteht bei gefälschten OpenID-Anbietern eine Gefahr?

27

Ich habe mich gefragt. Da jeder einen OpenID-Provider starten kann und es keine zentrale Behörde gibt, die OpenID-Provider genehmigt, warum werden gefälschte OpenID-Provider nicht zum Problem?

Ein Spammer könnte beispielsweise einen OpenID-Anbieter mit einer Hintertür starten, um sich als jeder andere Benutzer zu authentifizieren, der dazu verleitet wurde, sich auf seiner Site zu registrieren. Ist das möglich? Ist der Ruf des Anbieters das einzige, was dies verhindert? Werden wir in Zukunft OpenID Provider Blacklists und OpenID Provider Review Sites sehen?

Wahrscheinlich verstehe ich etwas über OpenID nicht ganz. Bitte erleuchte mich :)

security openid Amarillion
quelle

Antworten:

16

OpenID ist KEIN eigensicheres Protokoll. Es kann weder einen betrügerischen Anbieter zur Bereitstellung von Sicherheit zwingen, noch überprüft es jeden Anbieter, um sicherzustellen, dass er sicher ist.

OpenID ist ein Mechanismus, mit dem Sie Ihre Anmeldeinformationen bei einem vertrauenswürdigen Anbieter speichern können, der Sie dann gegenüber anderen überprüft.

Wenn Sie einen nicht vertrauenswürdigen Anbieter auswählen, kann dieser alles sehen und verwenden, wofür Sie Ihre Anmeldeinformationen verwenden könnten.

OpenID ist kein Ersatz für Vertrauen.

-Adam

Adam Davis
quelle
Aber ist nicht eine implizite Vertrauenswürdigkeit erforderlich, damit das System funktioniert? Wenn ich Google- und Yahoo OpenID-Anmeldeinformationen akzeptiere und eine davon nicht mehr vertrauenswürdig ist, bin ich dann nicht in einer Situation, in der ich nicht darauf vertrauen kann, dass meine Benutzer so sind, wie sie sagen, dass sie sind?
duffbeer703
1
OpenID soll nicht sicherstellen, dass der Benutzer auf der Client-Website angemeldet ist. Es wird nur gesagt: "Die Person, die sich jetzt anmeldet, ist die gleiche Person, die hier das Konto -username- OpenID eingerichtet hat." Dies kann für die zentrale Verfolgung von Benutzernamen / Passwort hilfreich sein, garantiert Ihnen jedoch nichts über diesen Benutzer. lediglich, dass sie über die entsprechenden Anmeldeinformationen verfügten, sodass der OpenID-Anbieter davon überzeugt ist, dass sie es sind.
Adam Davis
Ich benutze die openid als eindeutige Kennung. Gibt es eine Möglichkeit, dass ein betrügerischer Anbieter mir die gleiche OpenID gibt wie ein legitimer Benutzer eines anderen Anbieters, beispielsweise Yahoo?
12.
15

Es wäre so ziemlich dasselbe, als hätte man einen "gefälschten" E-Mail-Anbieter, der Benutzer-Bestätigungs-E-Mails usw. entführt. Nur die Reputation verhindert dies. Leute registrieren sich auf gmail.com oder hotmail.com, aber nicht auf joesixpack.org.

vartec
quelle
Aber sie registrieren Einweg-E-Mails auf mailinator.com, und ich suche selbst einen Einweg-OpenID-Anbieter. Ich muss mich auf einer beschissenen Seite registrieren, für die openId erforderlich ist, und es ist mir wirklich egal, ob ich mich unter meinem "echten" G-Account oder meiner FB registriere.
Dan3
9

Jeff hat einen sehr schönen (und langen) Weblog-Beitrag zu diesem Thema. Wenn es Ihre Fragen nicht beantwortet, wird es Sie sicherlich aufklären. Die Kommentare führen auch zu sehr anschaulichen Artikeln. Sehr empfehlenswert.


quelle
0

Die einzige Möglichkeit, wie ich sehe, dass ein "betrügerischer" OpenID-Server ein Problem darstellt, ist nicht so sehr ein Sicherheitsproblem für Webanwendungen. Was Sie jedoch tun, ist die Bereitstellung einer Website mit Ihrer Identität. Sie sagen den Leuten, dass Sie sind, wer Sie sind, aber sie haben auch Zugang dazu. Wenn eine böswillige Person einen OpenID-Server einrichtet und Benutzer damit beginnen, ihn zu verwenden, kann der Eigentümer des böswilligen Dienstes die Identität eines jeden annehmen, der seinen Server verwendet.

Die Frage lautet, ob Sie den Eigentümern Ihres OpenID-Servers vertrauen.

TrueDuality
quelle
0

Mein Problem mit OpenID im Allgemeinen ist, dass es neu ist und es keine Standards gibt (von denen ich sowieso überall gehört habe), die definieren, was einen "guten" OpenID-Anbieter ausmacht. Für Kreditkartendaten gibt es PCI-DSS-Standards für die Verwaltung von Kreditkarteninformationen - für die Identität jedoch keine Entsprechung.

Zugegeben, es ist eine neue Technologie, die im Allgemeinen für Anwendungen mit minimalen "Vertrauens" -Anforderungen verwendet wird. Aber auf Websites wie ServerFault ist meines Erachtens ein höheres Maß an Vertrauen erforderlich als bei einem Blog, jedoch weniger als bei einer Bank oder einem Online-Broker.

duffbeer703
quelle
Ein möglicher Rahmen für die Bewertung der Eignung eines OpenID-Anbieters für Ihre Sicherheitsanforderungen ist das Liberty Identity Assurance Framework, das jedoch derzeit auf dem OpenID-Markt kaum bekannt ist. projectliberty.org/strategic_initiatives/identity_assurance
keturn
0

Hinzufügen zu vorherigen Antworten. Ich weiß noch nichts über OpenID-Blacklists, aber es gibt eine Freiwilligeninitiative für OpenID-Whitelists . Diese Whitelist ist eine verteilte Technologie (genau wie E-Mail-, DNS- und HTTPS-Zertifikate). Es gibt keine zentrale Fehlerquelle und keine zentrale Vertrauensquelle. Sie können der Whitelist einiger Leute vertrauen, und er kann sie vortäuschen.

Es gibt die Meinung, dass diese Whitelists erweitert werden müssen, um mehr Informationen (natürlich nicht an Dritte) zu liefern, wie Benutzeraktivität, Anzahl der Beiträge, Anzahl der Warnungen von Moderatoren usw. Da OpenID eine globale Identität ist, würde dies helfen Informationen wie dieser Benutzer verbreiten sich fast augenblicklich als Spammer. Das würde Spammer zwingen, immer eine neue ID zu verwenden. Stellen Sie sich vor, 1000 Reputation bei ServerFault macht Sie zu einem vertrauenswürdigen Benutzer auf Tausenden anderer Websites.

temoto
quelle
-2

Für diejenigen, die glauben, OpenId-Konsumenten sollten jeden OpenId-Anbieter als Authentifikator betrachten, ist das einfach verrückt. Angenommen, Sie haben eine Liste autorisierter Benutzer, die auf einer E-Mail basiert, die von OpenID-Anbietern weitergeleitet wurde. Eine betrügerische Person richtet ihren eigenen OpenId-Dienst ein und kennt die E-Mail-Adresse eines Ihrer zuvor autorisierten Benutzer. Diese betrügerische Person könnte sich dann als Ihr akzeptierter Benutzer "authentifizieren".

Wenn Sie versuchen, mit openId zu sichern, müssen Sie eine weiße Liste von Anbietern haben, denen Sie vertrauen, andernfalls sind Sie für jeden, der weiß, wie man einen Anbieterdienst einrichtet, ziemlich offen.

Troy Jordan
quelle
3
Ihre Antwort ist falsch. So funktioniert OpenID nicht. Der OpenID-Anbieter gibt die E-Mail-Adresse des Benutzers nicht als Benutzernamen an die Site zurück.
Longneck