Sind OpenID-Anmeldungen durch die Verletzung der Ubuntu-Foren gefährdet?

18

Ich kann mich ehrlich gesagt nicht erinnern, wie ich mich in Ubuntu-Foren angemeldet habe, aber ich bin mir ziemlich sicher, dass es OpenID war. Sollte ich besorgt sein?

ubuntu-forums Georgebrindeiro
quelle
4
OT enger Wähler: Diese Frage ist definitiv themenbezogen. Wir helfen Leuten mit Ubuntu-Community-Ressourcen hier ( "Von Ubuntu bereitgestellte Dienste" ). Darüber hinaus gehört es nicht zu Meta , was nur für Fragen zu Ask Ubuntu selbst gilt (nicht zu anderen Ubuntu-bezogenen Sites). Es könnte jedoch als ein Duplikat dieser früheren Frage angesehen werden . Wenn wir eine der beiden als Duplikat der anderen schließen, empfehle ich, ihre Antworten zusammenzuführen.
Eliah Kagan
Über das Zusammenführen von Antworten: Ich hatte die andere Frage gesehen, wusste aber ehrlich gesagt nicht, ob dies auf meinen Fall zutrifft.
Georgebrindeiro

Antworten:

15

Da die OpenID-Anmeldung immer auf der Seite des Ausstellers verarbeitet wird (wenn Sie beispielsweise OpenID verwenden, die Sie von Launchpad erhalten haben, wenden sich die Foren an Launchpad, und es ist Launchpad, das Ihre Authentifizierung verarbeitet), behalten die Foren Ihr OpenID-Kennwort nicht bei (sie geben kein ' überhaupt nicht brauchen).

Daher können die Angreifer nur Ihr OpenID-Login erhalten, nicht jedoch das Passwort, da es eigentlich nicht vorhanden ist.

Der Vollständigkeit halber sind laut dieser offiziellen Ankündigung nur die Foren betroffen, keine anderen Dienste.

Rafał Cieślak
quelle
1
Es ist nicht nur so, dass sie es nicht speichern müssen - sie können es nicht einmal speichern, da eine gute OpenID-vertrauende Partei das Passwort des Benutzers niemals sieht.
Martin Thoma
8

Von http://openid.net/

Mit OpenID wird Ihr Passwort nur Ihrem Identitätsanbieter mitgeteilt, und dieser Anbieter bestätigt Ihre Identität gegenüber den von Ihnen besuchten Websites. Anders als bei Ihrem Provider wird Ihr Passwort auf keiner Website angezeigt, sodass Sie sich keine Sorgen machen müssen, dass eine skrupellose oder unsichere Website Ihre Identität gefährdet.

Der Identitätsanbieter ist beispielsweise Google und die Website, die Sie besuchen, ist UF.

Also ja, du solltest in Sicherheit sein.

Rinzwind
quelle
3

Generell (zumindest nach meinem besten Wissen) wird die Authentifizierung bei der Verwendung eines Open-ID-Kontos für die Anmeldung ausschließlich von der externen Website übernommen (wenn ich also beispielsweise Facebook für die Anmeldung hier verwenden würde, die Authentifizierung) würde rein von Facebook und nicht von Ask (Ubuntu) gehandhabt werden. Die andere Seite übergibt nur eine eindeutige Kennung, die dem Ubuntu-Forum / Ask Ubuntu / mitteilt, was auch immer Sie sind, und keine Ihrer Anmeldedaten weitergibt.

Die im Ubuntu-Forum gespeicherten (+ gehashten und gesalzenen) Passwörter gelten also nur für lokale Accounts (wie im Abschnitt "Was wir wissen" auf der aktuellen Wartungsseite erwähnt).

Natürlich, wenn Sie immer noch darüber besorgt sind, würde es nicht schaden, Ihre Passwörter zu ändern - und zur Beruhigung wäre es wahrscheinlich eine gute Idee, dies trotzdem zu tun -, aber soweit mir bekannt ist, es sei denn, Sie haben den Dienst in Anspruch genommen Um zu bestätigen, dass Ihre Open ID verletzt wurde (Google, Facebook usw.), sollte es keinen Grund zur Sorge geben.

Weitere Informationen finden Sie auf dieser Seite der OpenID-Website .

Jez W
quelle
1

Wenn Sie wirklich OpenID verwendet haben: Nein .

Der Anmeldevorgang wird zwischen Ihrem OpenID-Provider und Ihnen durchgeführt. Die Dienste, mit denen Sie OpenID verwenden können, sehen nicht einmal Ihr Passwort! Es gibt keine Möglichkeit, wie Ubuntuforums Ihr Passwort gespeichert haben könnte.

OpenID-Ressourcen

Die folgenden Ressourcen helfen Ihnen möglicherweise dabei, die Funktionsweise von OpenID zu verstehen.

Martin Thoma
quelle