Açık kimlik güvenli midir?

Açık kimlik güvenli midir, örneğin banka hesaplarına giriş yapmak için kullanabilir misiniz?

OpenID, OpenID sağlayıcısı kadar güvenlidir (örn. "Birisi Myspace hesabınıza girerse OpenID'nize ve onu kullanan her şeye erişebilir").

Şahsen ben değerli bir şeye güvenmem. OpenID sağlayıcılarının çoğu oldukça kötü bir güvenlik geçmişine sahiptir.

Voretaq7 ile OpenID'nin yalnızca OpenID sağlayıcısı kadar güvenli olduğunu kabul etsem de, kullanmak için bir OpenID sağlayıcısı seçerken saygın bir sağlayıcı kullandığınızdan emin olmanız gerektiğini söylemeliyim. Aynı fikir güvenlikle ilgili her şey için de geçerlidir. Google, AOL ve bence Verisign bile artık OpenID'ler sunuyor ve bu şirketlerin / sağlayıcıların iyi bir sicili var.

OpenID'nin evdeki güvenlik veya başka bir üçüncü taraf paketine göre en büyük avantajlarından biri, güvenliğin kimlik doğrulama yönünü, küçük işletmelerin çoğundan daha fazla deneyime ve daha fazla kaynağa sahip şirketlerin elinde tutmasıdır. Sunucularını ve verilerini korumak için daha iyi bir yeteneğe sahip olma eğilimindedirler. Küçük bir dükkanın çalışanı olarak, bu verileri korumak için gerekli sunucuları, güvenlik duvarlarını vb. Doğru bir şekilde yapılandırmak için Google'a kesinlikle kendimden daha fazla güvenirim.

Bununla birlikte, OpenID, en zayıf yönleri olan kullanıcılar gibi en tehlikeli yönlere karşı savunmasızdır.

OpenID, kimlik doğrulamasını üçüncü bir tarafa devretmenin bir yoludur. Kimlik doğrulamayı devrettiğiniz bankacılık gibi yüksek güven gerektiren bir uygulama için önemli, büyük bir güvenlik kararıdır. OpenID protokolü, yeterli kimlik doğrulama önlemleri olan bir sisteme tek faktörlü kimlik doğrulamaya (openID kimlik doğrulama belirteci) veya yetki verilen kimlik doğrulamasına izin veren herhangi bir standart için yeterlidir.

Sonraki soru: Mevcut openID sağlayıcıları çevrimiçi bankacılık için yeterince güvenli mi?

Bu farklı bir soru ve şu anda muhtemelen olumsuz. Bununla birlikte, belirli bir standardı takip eden ve denetlenen tek bir bankacılık openID sağlayıcısı oluşturmak için kaynakları bir araya getiren Amerikan bankalarından oluşan bir konsorsiyumun durduracağı hiçbir şey (teknik) yoktur. Bu openID sağlayıcısı, SiteKey, SecureID, Akıllı Kart kaydırması veya talep edilen başka herhangi bir kimlik doğrulama yöntemini kullanabilir. Bu olasılığı büyük ticari bankalar için pek olası görmüyorum, ancak Kredi Birliği topluluğu bunu deneyebilir.

OpenID, (1) oturum açmaya çalıştığınız sitenin en zayıf noktası kadar güvenlidir; (2) OpenID sağlayıcınız; veya (3) DNS sistemi.

Öneri:

• Bankanızın önerdiği güvenlik / giriş sistemini kullanın ve hesabınızın güvenliği ihlal edildiğinde haklarınızı bilmeniz için hizmet şartlarını ve koşullarını öğrenin.
• Bankanızı OpenID'yi benimsemeye teşvik etmeyin, çünkü bu hizmetlerinin güvenliğini azaltacaktır.

Zayıf yönleri:

Bu gerçeğin hemen bir sonucu, OpenID'nin en iyi şekilde giriş yapmaya çalıştığınız site kadar güvenli olabileceğidir; asla daha güvenli olamaz .

OpenID protokolünde sağlayıcınıza yeniden yönlendirme, oturum açtığınız sitenin kontrolü altındadır, bu da kimlik avı kimlik avı ve ortadaki adam saldırılarına yol açar. Bu tür saldırılar, düşmanca bir sitenin OpenID kimlik bilgilerinizi bilmeden çalmasına izin verir ; bu da daha sonra sizin gibi OpenID etkin olan herhangi bir siteye giriş yapmak için kullanabilir.

DNS saldırıları daha karmaşıktır, ancak bir saldırganın bankanızı OpenID sağlayıcınız olduğuna ikna etmesine izin verecektir. Saldırgan OpenID'nizi kullanarak oturum açar ve sahte sağlayıcısının bankaya yetki vermesini sağlar. Bu durumda, saldırganın size kimlik avı yapması veya parolanızı öğrenmesi veya bilgisayarınıza herhangi bir şey yüklemesi gerekmez - tek ihtiyacı olan OpenID'dir.

Benzer şekilde OpenID sağlayıcınıza yapılan bir saldırı, saldırganın şifrenizi bilmeden herhangi bir OpenID etkin sitede oturum açmanıza izin verir.

OpenID zayıflıkları ve saldırıları hakkında daha fazla bilgi için http://www.untrusted.ca/cache/openid.html adresini ziyaret edin .

OpenID bir protokoldür. Protokol çok güvenlidir, ancak arka uç kimlik doğrulama yönteminin olması gerekmez. Bangladeş'te telnet üzerinden bir dos kutusundan kullanıcıyı doğrulayacak bir OpenId portalı çalıştırabilirsiniz.

Bankacılık için yeterince güvenli mi? Evet. Aslında tüm bankacılık sağlayıcılarının buna izin vermesini diliyorum. Ayrıca, bankacılık sağlayıcılarına diğer teknoloji sağlayıcılarından daha fazla güvenmek istiyorsanız - bunu sağlamaları iyi olmaz mıydı?