L'identifiant ouvert est-il sécurisé?

9

L'identifiant ouvert est-il sécurisé, par exemple, pouvez-vous l'utiliser pour vous connecter à des comptes bancaires?

Daniel
la source
1
Oui, 2.0 est très sécurisé. Allez lire fr.wikipedia.org/wiki/OpenID "OpenID ne fournit pas sa propre forme d'authentification, mais si un fournisseur d'identité utilise une authentification forte, OpenID peut être utilisé pour des transactions sécurisées telles que la banque et le commerce électronique."
Evan Carroll
1
Oui, je pense que la vraie question est ... Votre fournisseur OpenID est-il sécurisé?
Andor

Réponses:

8

OpenID est aussi sécurisé que le fournisseur OpenID (c'est-à-dire "Si quelqu'un pénètre dans votre compte Myspace, il a accès à votre OpenID et à tout ce qui l'utilise").

Personnellement, je ne lui ferais pas confiance avec quelque chose de précieux. La plupart des fournisseurs OpenID ont un bilan de sécurité assez moche.

voretaq7
la source
1
Je pense que vous négligez les avantages d'OpenID et les annulez par simple commodité.
Evan Carroll
3
@Evan: OpenID a beaucoup d'avantages - en fait j'utilise OpenID pour les sites de trilogie SO. Cependant, aucun des avantages ne nie mes préoccupations de sécurité, et je ne ferais certainement pas confiance à la sécurité de mon fournisseur OpenID avec mes informations de compte bancaire :-)
voretaq7
2
Bien sûr , ils le font, que diriez - vous réduire votre déclaration OpenID is as secure as the OpenID provider, à X is as secure as the X provider: dans ce cas , vous n'êtes pas en indiquant quoi que ce soit. Bien que votre déclaration soit vraie, elle est stupide: je pense que toute personne possédant les connaissances suffisantes pour créer et maintenir OpenID est probablement au moins aussi qualifiée qu'une banque au mérite qu'une vende une solution technique, tandis que l'autre vend une solution financière. . Oui, je fais beaucoup plus confiance à Google / Yahoo / Verisign qu'à Washington Mutual
Evan Carroll
3
@Evan - Tout service est par définition aussi sûr que le fournisseur. Mon opinion est qu'OpenID, tout en étant un protocole précieux, n'offre pas de garanties structurelles suffisantes quant à la sécurité de ses fournisseurs pour que je lui fasse confiance pour l'authentification critique. Vous êtes libre d'être en désaccord avec mon évaluation, mais je soutiens ce que j'ai dit.
voretaq7
3
@Evan, vous semblez être plutôt passionné par ce sujet, au point même d'être obsédé. Vous devrez peut-être prendre du recul et jeter un autre regard. Le fait que VOUS ayez confiance en OpenID ne le rend pas sécurisé. Nous ne sommes pas les premiers à nous en méfier et ne serons certainement pas les derniers. Quant au facteur de commodité, ce n'est pas le sujet de la question.
John Gardeniers
5

Bien que je convienne avec voretaq7 qu'OpenID n'est aussi sécurisé que le fournisseur OpenID, je dois dire que lors de la sélection d'un fournisseur OpenID à utiliser, il faut veiller à ce que vous utilisiez un fournisseur de bonne réputation. Cette même idée s'applique à tout ce qui concerne la sécurité. Google, AOL et je pense que même Verisign propose désormais des OpenID et ces sociétés / fournisseurs ont un bon bilan.

L'un des principaux avantages d'OpenID par rapport à la sécurité locale ou à un autre package tiers est qu'il met l'aspect authentification de la sécurité entre les mains d'entreprises ayant plus d'expérience et plus de ressources pour le gérer que la plupart des petites entités. Ils ont généralement une meilleure capacité à protéger leurs serveurs et leurs données. En tant qu'employé d'une petite boutique, je ferais certainement confiance à Google plus qu'à moi pour configurer correctement les serveurs, les pare-feu, etc. nécessaires pour protéger ces données.

Cependant, OpenID est tout aussi vulnérable à l'aspect le plus dangereux de tous - les utilisateurs qui choisissent des informations d'identification faibles.

DCNYAM
la source
1
Google, Verisign, etc. fournissent probablement des OpenID "raisonnablement sécurisés", mais n'importe qui peut être un fournisseur OpenID, et le concept d'OpenID (si je comprends bien) est d'accepter un OpenID valide de n'importe quel fournisseur afin que les gens n'aient pas pour configurer un tas de comptes différents. Quelqu'un qui sélectionne un fournisseur OpenID non sécurisé (ou un fournisseur de récupération de mot de passe non sécurisé) pourrait être presque aussi dangereux que les utilisateurs qui utilisent abc123comme mot de passe ...
voretaq7
2
Il semblerait que la seule personne dangereuse à proximité soit l'utilisateur. Ce sont eux qui sélectionnent le mot de passe, s'ils utilisent OpenID et qui il doit être. Devrait-il être de notre responsabilité de les protéger d'eux-mêmes?
Chris
2
Si vous exécutez un service qui accepte les OpenID pour l'authentification, vous pouvez facilement mettre sur liste noire les fournisseurs non fiables ou sur liste blanche les bons fournisseurs connus. De cette façon, vous pouvez éviter les fournisseurs qui permettent à l'utilisateur de définir un mot de passe non sécurisé.
GAThrawn
1
@Chris: Tant que nous devons nous tenir devant la tempête de blâme lorsqu'un compte est compromis, oui - au moins partiellement. (C'est pourquoi certains sites ont des politiques de mot de passe comme "> = 8 caractères, alphanumérique + au moins 1 caractère spécial").
voretaq7
@ voretaq7: tout le monde peut aussi être une banque.
Evan Carroll
5

OpenID est un moyen de déléguer l'authentification à un tiers. Pour une application hautement fiable comme la banque, à qui vous déléguez l'authentification est une décision de sécurité majeure et majeure. Le protocole openID tel qu'il est est suffisant pour toute norme qui permet soit l'authentification à facteur unique (le jeton d'authentification openID) ou l'authentification déléguée à un système qui dispose de garanties d'authentification suffisantes.

La question suivante: les fournisseurs openID actuels sont - ils suffisamment sécurisés pour les opérations bancaires en ligne?

C'est une question différente, et elle est probablement négative en ce moment. Cependant, rien (technique) n'empêche, par exemple, un consortium de banques américaines de mettre en commun leurs ressources pour créer un fournisseur d'openID bancaire unique qui respecte une norme définie et est audité. Ce fournisseur openID peut utiliser toutes les méthodes d'authentification dont il a besoin, qu'il s'agisse de SiteKey, SecureID, de la carte à puce ou de tout autre élément requis. Je considère cette possibilité peu probable pour les grandes banques commerciales, mais la communauté des coopératives de crédit pourrait bien l'essayer.

sysadmin1138
la source
1
Je considérerais VeriSign PIP et probablement MyOpenID suffisamment sécurisé pour les opérations bancaires.
user1686
2

OpenID est aussi sécurisé que le plus faible (1) du site auquel vous essayez de vous connecter; (2) votre fournisseur OpenID; ou (3) le système DNS.

Recommandation:

  • Utilisez le système de sécurité / connexion recommandé par votre banque et comprenez les conditions générales de service afin de connaître vos droits si votre compte est compromis.
  • N'encouragez pas votre banque à adopter OpenID, car cela réduirait la sécurité de leur service.

Faiblesses:

Une conséquence immédiate de ce fait est qu'OpenID peut au mieux être aussi sécurisé que le site auquel vous essayez de vous connecter; il ne peut jamais être plus sûr.

Dans le protocole OpenID, la redirection vers votre fournisseur est sous le contrôle du site auquel vous vous connectez, ce qui conduit à des attaques de phishing et de man-in-the-middle triviales. De telles attaques permettront à un site hostile de voler vos informations d'identification OpenID à votre insu , qu'ils pourront ensuite utiliser plus tard pour vous connecter à tout autre site compatible OpenID comme vous.

Les attaques DNS sont plus compliquées, mais permettront à un attaquant de convaincre votre banque qu'il est votre fournisseur OpenID. L'attaquant se connecte en utilisant votre OpenID, et son faux fournisseur donne une autorisation à la banque. Dans ce cas, l'attaquant n'a pas besoin de vous hameçonner ou d'apprendre votre mot de passe ou d'installer quoi que ce soit sur votre ordinateur - tout ce dont il a besoin est votre OpenID.

De même, une attaque contre votre fournisseur OpenID permettra à l'attaquant de se connecter en tant que vous sur n'importe quel site compatible OpenID, sans connaître votre mot de passe.

Plus d'informations sur les faiblesses et les attaques d'OpenID à http://www.untrusted.ca/cache/openid.html .

Twylite
la source
1

OpenID est un protocole. Le protocole est très sécurisé, mais la méthode backend-auth ne doit pas l'être. Vous pouvez exécuter un portail OpenId qui validera un utilisateur à partir d'une boîte de dos sur telnet au Bangladesh.

Est-il suffisamment sécurisé pour les opérations bancaires? Oui. En fait, je souhaite que tous les prestataires bancaires le permettent. De plus, si vous voulez faire plus confiance aux fournisseurs bancaires qu'aux autres fournisseurs de technologie - ne serait-il pas agréable de les fournir ?

Evan Carroll
la source
1
Tout simplement parce qu'une banque est chargée de votre argent, cela les rend-ils qualifiés pour gérer les identités numériques?
Chris
1
@chris: Non, ce n'est pas le cas. mais cela semble être la tendance de ce fil. Je préfère que les banques s'en tiennent à la gestion de l'argent et utilisent Google pour gérer mon authentification. Le fait est que peu importe en qui vous avez confiance, quelqu'un d'autre que la banque ou la banque: si chaque banque était un fournisseur et un consommateur openid, vous pourriez utiliser leur authentification sur google, ou google sur la banque - OpenID est juste le protocole pour leur permettre de communiquer.
Evan Carroll