Ubuntu 포럼으로 인해 OpenID 로그인이 손상 되었습니까?

18

솔직히 Ubuntu 포럼에 로그인 할 때 사용한 내용을 기억할 수 없지만 OpenID임을 확신합니다. 걱정해야합니까?

ubuntu-forums

4

구약에 가까운 유권자 :이 질문은 분명히 주제에 관한 것입니다. 우리는 여기에 우분투 커뮤니티 리소스 (과 사람들을 돕기 "우분투가 제공하는 서비스" ). 또한 meta 에 속하지 않으며 Ask Ubuntu 자체 에 대한 질문 (다른 Ubuntu 관련 사이트가 아닌 )에만 해당됩니다 . 그래도이 이전 질문 의 복제본으로 간주 될 수 있습니다 . 우리가 이들 중 하나를 다른 것의 복제본으로 닫으면 대답을 병합하는 것이 좋습니다.

— Eliah Kagan

답변 병합에 관하여 : 나는 다른 질문을 보았지만 그것이 나의 경우에 적용되는지 정직하게 알지 못했습니다.

— georgebrindeiro

15

OpenID 로그인은 항상 발급자 측에서 처리되므로 (예를 들어, 런치 패드에서 얻은 OpenID를 사용하는 경우 포럼은 런치 패드에 접속하고 인증을 처리하는 런치 패드입니다) 포럼은 OpenID 비밀번호를 유지하지 않습니다. 전혀 필요하지 않습니다).

따라서 공격자가 얻을 수있는 모든 것은 OpenID 로그인이지만 비밀번호는 없습니다. 실제로 비밀번호가 없기 때문입니다.

또한, 이 공식 발표 에 따르면, 완전성을 위해 포럼 만 영향을 받고 다른 서비스는 영향을받지 않습니다.

— 라 파우 시실 락
소스

1

저장하지 않아도되는 경우가 아니라 좋은 OpenID 신뢰 당사자가 사용자의 비밀번호를 볼 수 없기 때문에 저장할 수 없습니다.

— 마틴 토마

8

에서 http://openid.net/

OpenID를 사용하면 암호는 자격 증명 공급자에게만 제공되며 해당 공급자는 방문한 웹 사이트에서 자격 증명을 확인합니다. 제공 업체 외에는 웹 사이트에 비밀번호가 표시되지 않으므로 신분을 침해하는 부주의하거나 안전하지 않은 웹 사이트에 대해 걱정할 필요가 없습니다.

ID 제공자는 예를 들어 Google이며 방문하는 웹 사이트는 UF입니다.

예, 안전해야합니다.

— 린츠 윈드
소스

3

Open ID 계정을 사용하여 로그인 할 때 일반적으로 (최소한의 지식으로는) 외부 웹 사이트에서 인증을 처리합니다 (예 : Facebook을 사용하여 로그인 한 경우 인증). Ask Ubuntu가 아니라 Facebook에서 순수하게 처리합니다. 다른 사이트는 Ubuntu 포럼 / Ask Ubuntu / 사용자에게 알려주는 고유 식별자 만 전달하며 로그인 세부 정보는 전달하지 않습니다.

따라서 Ubuntu 포럼에서 저장 한 (+ 해시 및 솔트 된) 비밀번호는 로컬 계정 전용입니다 (현재 유지 보수 페이지의 "알고있는 내용"섹션에 언급 된대로)

물론 여전히 염려되는 경우 암호를 변경해도 상처를 입지 않을 것입니다-마음의 평화를 위해 어쨌든 그렇게하는 것이 좋습니다. Open ID (Google, Facebook 등)가 손상되었음을 인증하기 위해 너무 걱정할 필요가 없습니다.

자세한 내용 은 OpenID 웹 사이트에서이 페이지를 참조 하십시오.

— 제 이즈여
소스

1

: 당신은 정말 오픈 ID를 사용하는 경우 아니오 .

로그인 프로세스는 OpenID 공급자와 사용자 사이에서 실행됩니다. OpenID를 사용할 수있는 서비스에는 비밀번호가 표시되지 않습니다! 우분투 포럼이 어떻게 암호를 저장했을 가능성이 없습니다.

OpenID 리소스

다음 리소스는 OpenID 작동 방식을 이해하는 데 도움이 될 수 있습니다.

YouTube 동영상
위키 백과
OpenID에 대한 Google 의 많은 콘텐츠 (이미지는 매우 좋습니다)

— 마틴 토마
소스