Les connexions OpenID sont-elles compromises par la violation des forums Ubuntu?

18

Honnêtement, je ne me souviens pas de ce que j'avais l'habitude de me connecter aux forums Ubuntu, mais je suis sûr que c'était OpenID. Dois-je m'inquiéter?

ubuntu-forums georgebrindeiro
la source
4
OT votant (s) proche (s): Cette question est définitivement sur le sujet; nous aidons les personnes disposant des ressources de la communauté Ubuntu ici ( «Services fournis par Ubuntu» ). De plus, il n'appartient pas à la méta , qui ne concerne que les questions sur Ask Ubuntu lui-même (pas sur les autres sites liés à Ubuntu). Cela pourrait cependant être considéré comme un double de cette question précédente . Si nous fermons l'un ou l'autre en double de l'autre, je recommande de fusionner leurs réponses.
Eliah Kagan
À propos de la fusion des réponses: Pour être honnête, j'avais vu l'autre question mais je ne savais pas si cela s'appliquait à mon cas.
georgebrindeiro

Réponses:

15

Étant donné que la connexion OpenID est toujours traitée du côté de l'émetteur (par exemple, si vous utilisez OpenID que vous avez obtenu de Launchpad, les forums contacteront Launchpad et c'est Launchpad qui traite votre authentification), les forums ne conservent pas votre mot de passe OpenID (ils ne pas besoin du tout).

Par conséquent, tous les attaquants peuvent obtenir votre identifiant OpenID, mais pas le mot de passe, car il n'est pas réellement là.

Aussi, juste pour être complet, selon cette annonce officielle , seuls les forums sont concernés, aucun autre service ne l'est.

Rafał Cieślak
la source
1
Ce n'est pas seulement le cas où ils n'ont pas besoin de l'enregistrer - ils ne peuvent même pas l'enregistrer car une bonne partie utilisatrice d'OpenID ne voit jamais le mot de passe de l'utilisateur.
Martin Thoma
8

Depuis http://openid.net/

Avec OpenID, votre mot de passe n'est donné qu'à votre fournisseur d'identité, et ce fournisseur confirme ensuite votre identité aux sites Web que vous visitez. En dehors de votre fournisseur, aucun site Web ne voit jamais votre mot de passe, vous n'avez donc pas à vous soucier d'un site Web sans scrupules ou non sécurisé compromettant votre identité.

Le fournisseur d'identité est par exemple Google et le site Web que vous visitez est UF.

Alors oui, tu devrais être en sécurité.

Rinzwind
la source
3

De manière générale (à ma connaissance, au moins) lorsque vous utilisez un compte Open ID pour vous connecter, l'authentification est gérée uniquement par le site Web externe (ainsi, par exemple, si je devais utiliser Facebook pour me connecter ici, l'authentification serait géré uniquement par Facebook et non par Ask Ubuntu). L'autre site ne remet qu'un identifiant unique qui indique au forum Ubuntu / Ask Ubuntu / quoi que vous soyez, et ne transmet aucune de vos informations de connexion.

Ainsi, les mots de passe stockés (+ hachés et salés) par le forum Ubuntu seraient réservés aux comptes locaux (comme mentionné dans la section "Ce que nous savons" de la page de maintenance actuelle)

Bien sûr, si vous êtes toujours préoccupé par cela, cela ne ferait pas de mal de changer vos mots de passe - et pour la tranquillité d'esprit, ce serait probablement une bonne idée de le faire de toute façon - mais à ma connaissance, sauf si le service que vous avez utilisé pour authentifier votre Open ID a été violé (Google, Facebook, etc.) il ne devrait pas y avoir trop de raisons de s'inquiéter.

Voir cette page sur le site Web d'OpenID pour plus de détails.

Jez W
la source
1

Si vous avez vraiment utilisé OpenID: Non .

Le processus de connexion est exécuté entre votre fournisseur OpenID et vous. Les services qui vous permettent d'utiliser OpenID ne voient même pas votre mot de passe! Il n'y a aucune possibilité comment ubuntuforums aurait pu stocker votre mot de passe.

Ressources OpenID

Les ressources suivantes peuvent vous aider à comprendre le fonctionnement d'OpenID.

Martin Thoma
la source