답변:
OpenID는 OpenID 제공 업체만큼 안전합니다 (예 : "누군가 Myspace 계정에 침입하면 OpenID 및이를 사용하는 모든 항목에 액세스 할 수 있습니다").
개인적으로 나는 그것을 귀중한 것으로 신뢰하지 않을 것입니다. 대부분의 OpenID 제공 업체는 상당히 까다로운 보안 실적을 보유하고 있습니다.
OpenID is as secure as the OpenID provider
에 X is as secure as the X provider
: 당신은 전혀 아무것도 진술하지 않는 경우에. 귀하의 진술은 사실이지만, 제정신이 아닙니다. OpenID를 설정하고 유지 관리하기에 충분한 지식을 가진 사람은 아마도 기술적 솔루션을 판매한다는 장점에 대한 은행만큼이나 자격을 갖춘 사람 일 것입니다. . 예, 신뢰 구글 / 야후 / 베리사인 훨씬 더 내가 워싱턴 상호 신뢰를보다
voretaq7에 OpenID가 OpenID 제공자만큼 안전하다는 데 동의하지만, 사용할 OpenID 제공자를 선택할 때는 신뢰할 수있는 제공자를 사용하도록주의를 기울여야합니다. 이 같은 아이디어는 보안과 관련된 모든 것에 적용됩니다. Google, AOL 및 Verisign조차도 현재 OpenID를 제공하고 있으며 이러한 회사 / 제공 업체는 실적이 좋습니다.
자체 개발 보안 또는 기타 타사 패키지에 비해 OpenID의 주요 장점 중 하나는 보안의 인증 측면이 대부분의 소규모 기업보다 더 많은 경험과 더 많은 리소스를 보유한 기업에 제공된다는 것입니다. 서버와 데이터를보다 잘 보호 할 수 있습니다. 소규모 상점의 직원으로서 저는이 데이터를 보호하는 데 필요한 서버, 방화벽 등을 올바르게 구성 할 수 있다고 확신합니다.
그러나 OpenID는 취약한 자격 증명을 선택하는 모든 사용자 중 가장 위험한 측면에 취약합니다.
abc123
... 암호로
OpenID는 인증을 타사에 위임하는 방법입니다. 뱅킹과 같은 신뢰도가 높은 응용 프로그램의 경우 인증을 위임 한 사람은 주요한 주요 보안 결정입니다. openID 프로토콜은 단일 인증 (openID 인증 토큰)을 허용하거나 충분한 인증 보호 기능이있는 시스템에 인증을 위임하는 모든 표준에 충분합니다.
다음 질문 : 현재 openID 제공 업체가 온라인 뱅킹에 충분한 보안을 제공합니까?
그것은 다른 질문이며, 아마도 현재 부정적인 것입니다. 그러나 명시된 기술 표준을 준수하고 감사되는 단일 뱅킹 openID 공급자를 만들기 위해 리소스를 풀링하는 미국 은행 컨소시엄 (기술적)이 없습니다. 해당 openID 공급자는 SiteKey, SecureID, 스마트 카드 스 와이프 또는 필요한 다른 인증 방법 등 필요한 인증 방법을 사용할 수 있습니다. 주요 상업 은행에서는이 가능성을 고려하지 않았지만 신용 조합 커뮤니티는 시도해 볼 수 있습니다.
OpenID는 (1) 로그인하려는 사이트 중 가장 취약한 것만 큼 안전합니다. (2) 귀하의 OpenID 제공 업체; 또는 (3) DNS 시스템.
추천:
약점 :
이 사실의 직접적인 결과는 오픈 ID가 할 수 있다는 것입니다 고작 당신이에 로그인하려는 사이트 한 안전하게 될; 더 안전 할 수는 없습니다 .
OpenID 프로토콜에서 공급자로의 리디렉션은 로그인하는 사이트의 제어하에 있으며, 이는 사소한 피싱 및 중간자 (man-in-the-middle) 공격으로 이어집니다. 이러한 공격을 통해 악의적 인 사이트가 사용자 모르게 OpenID 자격 증명을 훔쳐 나중에 다른 OpenID 지원 사이트에 로그인 할 때 사용할 수 있습니다.
DNS 공격은 더 복잡하지만 공격자는 은행에 자신이 OpenID 제공 업체임을 확신시킬 수 있습니다. 공격자는 OpenID를 사용하여 로그인하고 가짜 공급자가 은행에 권한을 부여하도록합니다. 이 경우 공격자는 사용자를 피싱하거나 암호를 배우거나 컴퓨터에 아무것도 설치할 필요가 없습니다. 필요한 것은 OpenID뿐입니다.
마찬가지로 OpenID 공급자에 대한 공격을 통해 공격자는 비밀번호를 몰라도 모든 OpenID 지원 사이트에 로그인 할 수 있습니다.
에서 오픈 ID의 약점과 공격에 대한 자세한 정보 http://www.untrusted.ca/cache/openid.html .
OpenID는 프로토콜입니다. 이 프로토콜은 매우 안전하지만 백엔드 인증 방법은 필요하지 않습니다. 방글라데시의 텔넷을 통해 dos 상자에서 사용자를 확인할 OpenId 포털을 실행할 수 있습니다.
은행 업무에 충분합니까? 예. 사실 나는 모든 은행 제공 업체가 허용하기를 바랍니다. 당신이 더 많은 다른 기술 제공 업체보다 신뢰 은행 제공하려는 경우 또한, - 그들은한다면 그것은 좋은 일하지 않을 제공 을?