공개 ID는 안전합니까?


9

예를 들어 공개 ID는 안전한가요? 예를 들어 은행 계좌에 로그인 할 수 있습니까?


1
예, 2.0은 매우 안전합니다. en.wikipedia.org/wiki/OpenID로 이동하십시오. "OpenID는 자체 인증 형식을 제공하지 않지만 자격 증명 공급자가 강력한 인증을 사용하는 경우 은행 및 전자 상거래와 같은 안전한 거래에 OpenID를 사용할 수 있습니다."
Evan Carroll

1
네, 진짜 질문은 ... OpenID 제공 업체는 안전한가요?
Andor

답변:


8

OpenID는 OpenID 제공 업체만큼 안전합니다 (예 : "누군가 Myspace 계정에 침입하면 OpenID 및이를 사용하는 모든 항목에 액세스 할 수 있습니다").

개인적으로 나는 그것을 귀중한 것으로 신뢰하지 않을 것입니다. 대부분의 OpenID 제공 업체는 상당히 까다로운 보안 실적을 보유하고 있습니다.


1
OpenID의 장점을 간과하고 편의상 작성하는 것 같습니다.
Evan Carroll

3
@Evan : OpenID에는 많은 장점이 있습니다. 사실 SO 3 부작 사이트에는 OpenID를 사용합니다. 그러나 어떤 장점도 내 보안 문제를 부정하지 않으며, 내 은행 계좌 정보로 내 OpenID 제공 업체의 보안을 신뢰하지 않을 것입니다 :-)
voretaq7

2
물론 그들이 어떻게 당신의 문을 감소 약 OpenID is as secure as the OpenID providerX is as secure as the X provider: 당신은 전혀 아무것도 진술하지 않는 경우에. 귀하의 진술은 사실이지만, 제정신이 아닙니다. OpenID를 설정하고 유지 관리하기에 충분한 지식을 가진 사람은 아마도 기술적 솔루션을 판매한다는 장점에 대한 은행만큼이나 자격을 갖춘 사람 일 것입니다. . 예, 신뢰 구글 / 야후 / 베리사인 훨씬 더 내가 워싱턴 상호 신뢰를보다
에반 캐롤

3
@Evan-모든 서비스는 정의상 공급자만큼 안전합니다. 내 의견에 대한 오픈 ID는, 가치있는 프로토콜 동안, 그 업체의 보안에 대한 충분한 구조적인 보장을 제공하지 않는다는 것입니다 내게 중요한 인증을 신뢰. 당신은 내 평가에 동의하지 않을 수 있지만, 내가 말한 것 뒤에 서 있습니다.
voretaq7

3
@Evan, 당신은이 주제에 대해 심지어 열정적 인 점까지 열정적 인 것 같습니다. 아마도 당신은 한 발짝 물러서서 또 한번 봐야 할 것입니다. OpenID를 신뢰한다고해서 보안이 보장되지는 않습니다. 우리는 그것을 불신 한 최초의 사람이 아니며, 마지막이 아닐 수도 있습니다. 편의 요소에 관해서는 이것이 주제의 주제가 아닙니다.
John Gardeniers

5

voretaq7에 OpenID가 OpenID 제공자만큼 안전하다는 데 동의하지만, 사용할 OpenID 제공자를 선택할 때는 신뢰할 수있는 제공자를 사용하도록주의를 기울여야합니다. 이 같은 아이디어는 보안과 관련된 모든 것에 적용됩니다. Google, AOL 및 Verisign조차도 현재 OpenID를 제공하고 있으며 이러한 회사 / 제공 업체는 실적이 좋습니다.

자체 개발 보안 또는 기타 타사 패키지에 비해 OpenID의 주요 장점 중 하나는 보안의 인증 측면이 대부분의 소규모 기업보다 더 많은 경험과 더 많은 리소스를 보유한 기업에 제공된다는 것입니다. 서버와 데이터를보다 잘 보호 할 수 있습니다. 소규모 상점의 직원으로서 저는이 데이터를 보호하는 데 필요한 서버, 방화벽 등을 올바르게 구성 할 수 있다고 확신합니다.

그러나 OpenID는 취약한 자격 증명을 선택하는 모든 사용자 중 가장 위험한 측면에 취약합니다.


1
Google, Verisign 등은 아마도 "합리적으로 안전한"OpenID를 제공하고 있지만 누구나 OpenID 제공 업체가 될 수 있으며 OpenID의 전체 개념은 이해하기 쉬운 모든 제공 업체로부터 유효한 OpenID를 수락하여 사람들이 갖지 못하도록하는 것입니다 여러 계정을 설정합니다. 사람 (안전하지 않은 암호 회복 또는 1) 안전하지 않은 오픈 ID 공급자를 선택이 될 수 있습니다 거의 사용하는 사용자로 위험 abc123... 암호로
voretaq7

2
유일하게 위험한 사람은 사용자 인 것 같습니다. OpenID를 사용하는 경우 암호를 선택하고 암호를 선택하는 사람입니다. 그들 자신을 보호하는 것이 우리의 책임이어야합니까?
Chris

2
인증을 위해 OpenID를 허용하는 서비스를 실행하는 경우 신뢰할 수없는 공급자를 쉽게 블랙리스트에 올리거나 알려진 좋은 공급자를 화이트리스트에 올릴 수 있습니다. 그렇게하면 사용자가 안전하지 않은 암호를 설정할 수있는 공급자를 피할 수 있습니다.
GAThrawn

1
@Chris : 계정이 훼손 될 때 비난의 폭풍 앞에 서있는 한, 적어도 부분적으로는. 따라서 일부 사이트에는 "> = 8 자, 영숫자 + 최소 1 개의 특수 문자"와 같은 비밀번호 정책이 있습니다.
voretaq7

@ voretaq7 : 누구나 은행이 될 수 있습니다.
Evan Carroll

5

OpenID는 인증을 타사에 위임하는 방법입니다. 뱅킹과 같은 신뢰도가 높은 응용 프로그램의 경우 인증을 위임 한 사람은 주요한 주요 보안 결정입니다. openID 프로토콜은 단일 인증 (openID 인증 토큰)을 허용하거나 충분한 인증 보호 기능이있는 시스템에 인증을 위임하는 모든 표준에 충분합니다.

다음 질문 : 현재 openID 제공 업체가 온라인 뱅킹에 충분한 보안을 제공합니까?

그것은 다른 질문이며, 아마도 현재 부정적인 것입니다. 그러나 명시된 기술 표준을 준수하고 감사되는 단일 뱅킹 openID 공급자를 만들기 위해 리소스를 풀링하는 미국 은행 컨소시엄 (기술적)이 없습니다. 해당 openID 공급자는 SiteKey, SecureID, 스마트 카드 스 와이프 또는 필요한 다른 인증 방법 등 필요한 인증 방법을 사용할 수 있습니다. 주요 상업 은행에서는이 가능성을 고려하지 않았지만 신용 조합 커뮤니티는 시도해 볼 수 있습니다.


1
VeriSign PIP 및 아마도 MyOpenID가 뱅킹에 충분히 안전하다고 생각합니다.
user1686

2

OpenID는 (1) 로그인하려는 사이트 중 가장 취약한 것만 큼 안전합니다. (2) 귀하의 OpenID 제공 업체; 또는 (3) DNS 시스템.

추천:

  • 은행에서 권장하는 보안 / 로그인 시스템을 사용하고 계정이 도용 된 경우 귀하의 권리를 알 수 있도록 서비스 약관을 이해하십시오.
  • 은행이 OpenID를 채택하도록 장려하지 마십시오. 서비스 보안이 저하 될 수 있습니다.

약점 :

이 사실의 직접적인 결과는 오픈 ID가 할 수 있다는 것입니다 고작 당신이에 로그인하려는 사이트 한 안전하게 될; 안전 할 수는 없습니다 .

OpenID 프로토콜에서 공급자로의 리디렉션은 로그인하는 사이트의 제어하에 있으며, 이는 사소한 피싱 및 중간자 (man-in-the-middle) 공격으로 이어집니다. 이러한 공격을 통해 악의적 인 사이트가 사용자 모르게 OpenID 자격 증명을 훔쳐 나중에 다른 OpenID 지원 사이트에 로그인 할 때 사용할 수 있습니다.

DNS 공격은 더 복잡하지만 공격자는 은행에 자신이 OpenID 제공 업체임을 확신시킬 수 있습니다. 공격자는 OpenID를 사용하여 로그인하고 가짜 공급자가 은행에 권한을 부여하도록합니다. 이 경우 공격자는 사용자를 피싱하거나 암호를 배우거나 컴퓨터에 아무것도 설치할 필요가 없습니다. 필요한 것은 OpenID뿐입니다.

마찬가지로 OpenID 공급자에 대한 공격을 통해 공격자는 비밀번호를 몰라도 모든 OpenID 지원 사이트에 로그인 할 수 있습니다.

에서 오픈 ID의 약점과 공격에 대한 자세한 정보 http://www.untrusted.ca/cache/openid.html .


1

OpenID는 프로토콜입니다. 이 프로토콜은 매우 안전하지만 백엔드 인증 방법은 필요하지 않습니다. 방글라데시의 텔넷을 통해 dos 상자에서 사용자를 확인할 OpenId 포털을 실행할 수 있습니다.

은행 업무에 충분합니까? 예. 사실 나는 모든 은행 제공 업체가 허용하기를 바랍니다. 당신이 더 많은 다른 기술 제공 업체보다 신뢰 은행 제공하려는 경우 또한, - 그들은한다면 그것은 좋은 일하지 않을 제공 을?


1
은행에 돈을 맡 겼기 때문에 디지털 신원을 처리 할 자격이 있습니까?
Chris

1
@ chris : 아뇨. 그러나 그것은이 스레드의 트렌드 인 것 같습니다. 차라리 은행이 돈을 처리하고 인증을 처리하기 위해 Google을 사용하고 싶습니다. 요점은, 당신이 신뢰하는 사람, 은행 이외의 은행 또는 은행이 중요하지 않다는 것입니다. 모든 은행이 개방형 공급자 및 소비자라면 Google 또는 Google 은행에서 인증을 사용할 수 있습니다-OpenID는 단지 그들이 통신 할 수 있도록하는 프로토콜.
Evan Carroll
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.