Daniel Asked: 2010-02-10 07:45:19 +0800 CST2010-02-10 07:45:19 +0800 CST 2010-02-10 07:45:19 +0800 CST 开放身份安全吗? 772 开放式 ID 是否安全,例如您可以使用它登录银行账户吗? security openid 5 个回答 Voted Best Answer voretaq7 2010-02-10T07:48:12+08:002010-02-10T07:48:12+08:00 OpenID 与 OpenID 提供商一样安全(即“如果有人闯入您的 Myspace 帐户,他们就可以访问您的 OpenID 和使用它的所有东西”)。 就我个人而言,我不会相信任何有价值的东西。大多数 OpenID 提供商的安全记录都很糟糕。 DCNYAM 2010-02-10T09:19:17+08:002010-02-10T09:19:17+08:00 虽然我同意 voretaq7 的观点,即 OpenID 仅与 OpenID 提供商一样安全,但我不得不说,在选择要使用的 OpenID 提供商时,必须注意确保您使用的是信誉良好的提供商。同样的想法适用于与安全有关的所有事情。谷歌、美国在线,我认为即使是威瑞信现在也提供 OpenID,这些公司/提供商确实拥有良好的业绩记录。 OpenID 相对于本土安全或其他第三方软件包的主要优势之一是,它将安全的身份验证方面交给了比大多数小型实体拥有更多经验和资源来处理它的公司。他们往往有更好的能力来保护他们的服务器和数据。作为一家小商店的员工,我肯定比我自己更相信谷歌能够正确配置保护这些数据所需的服务器、防火墙等。 然而,OpenID 同样容易受到最危险的方面的影响——选择弱凭据的用户。 sysadmin1138 2010-02-10T10:25:43+08:002010-02-10T10:25:43+08:00 OpenID 是一种将身份验证委托给第三方的方式。对于像银行这样的高信任应用程序,您将身份验证委托给谁是一个重大的、重大的安全决策。对于任何允许单因素身份验证(openID auth-token)或将身份验证委托给具有足够身份验证保护措施的系统的标准,openID 协议本身就足够了。 下一个问题:任何当前的 openID 提供商对于网上银行来说是否足够安全? 这是一个不同的问题,现在可能是否定的。然而,没有什么(技术)阻止美国银行联盟汇集资源创建一个遵循既定标准并经过审计的单一银行 openID 提供商。该 openID 提供者可以使用它需要的任何身份验证方法,无论是 SiteKey、SecureID、智能卡刷卡还是其他任何需要的身份验证方法。我认为主要商业银行不太可能出现这种可能性,但信用合作社社区可能会尝试一下。 Twylite 2011-02-08T09:38:57+08:002011-02-08T09:38:57+08:00 OpenID 与 (1) 您尝试登录的站点中最弱的站点一样安全;(2) 您的 OpenID 提供商;或 (3) DNS 系统。 推荐: 使用您银行推荐的安全/登录系统,并了解服务条款和条件,以便在您的帐户被盗时了解您的权利。 不要鼓励您的银行采用 OpenID,因为这会降低其服务的安全性。 缺点: 这一事实的直接后果是,OpenID充其量只能与您尝试登录的站点一样安全。它永远不会更安全。 在 OpenID 协议中,重定向到您的提供商是在您登录的站点的控制之下,这会导致微不足道的网络钓鱼和中间人攻击。此类攻击将允许恶意站点在您不知情的情况下窃取您的 OpenID 凭据,然后他们可以稍后使用这些凭据以您身份登录任何其他启用 OpenID 的站点。 DNS 攻击更为复杂,但可以让攻击者让您的银行相信他是您的 OpenID 提供者。攻击者使用您的 OpenID 登录,并让他的虚假提供商向银行授权。在这种情况下,攻击者不需要对您进行网络钓鱼或了解您的密码或在您的计算机上安装任何东西 - 他只需要您的 OpenID。 同样,对您的 OpenID 提供商的攻击将允许攻击者在任何启用 OpenID 的站点上以您的身份登录,而无需知道您的密码。 有关 OpenID 弱点和攻击的更多信息,请访问 http://www.untrusted.ca/cache/openid.html。 Evan Carroll 2010-02-10T13:12:53+08:002010-02-10T13:12:53+08:00 OpenID 是一种协议。该协议非常安全,但后端验证方法并非必须如此。您可以运行 OpenId 门户,该门户将通过孟加拉国的 telnet 从 dos 框验证用户。 对银行来说足够安全吗?是的。事实上,我希望所有银行提供商都允许这样做。此外,如果您希望比其他技术提供商更信任银行提供商——如果他们愿意提供,那不是很好吗?
OpenID 与 OpenID 提供商一样安全(即“如果有人闯入您的 Myspace 帐户,他们就可以访问您的 OpenID 和使用它的所有东西”)。
就我个人而言,我不会相信任何有价值的东西。大多数 OpenID 提供商的安全记录都很糟糕。
虽然我同意 voretaq7 的观点,即 OpenID 仅与 OpenID 提供商一样安全,但我不得不说,在选择要使用的 OpenID 提供商时,必须注意确保您使用的是信誉良好的提供商。同样的想法适用于与安全有关的所有事情。谷歌、美国在线,我认为即使是威瑞信现在也提供 OpenID,这些公司/提供商确实拥有良好的业绩记录。
OpenID 相对于本土安全或其他第三方软件包的主要优势之一是,它将安全的身份验证方面交给了比大多数小型实体拥有更多经验和资源来处理它的公司。他们往往有更好的能力来保护他们的服务器和数据。作为一家小商店的员工,我肯定比我自己更相信谷歌能够正确配置保护这些数据所需的服务器、防火墙等。
然而,OpenID 同样容易受到最危险的方面的影响——选择弱凭据的用户。
OpenID 是一种将身份验证委托给第三方的方式。对于像银行这样的高信任应用程序,您将身份验证委托给谁是一个重大的、重大的安全决策。对于任何允许单因素身份验证(openID auth-token)或将身份验证委托给具有足够身份验证保护措施的系统的标准,openID 协议本身就足够了。
下一个问题:任何当前的 openID 提供商对于网上银行来说是否足够安全?
这是一个不同的问题,现在可能是否定的。然而,没有什么(技术)阻止美国银行联盟汇集资源创建一个遵循既定标准并经过审计的单一银行 openID 提供商。该 openID 提供者可以使用它需要的任何身份验证方法,无论是 SiteKey、SecureID、智能卡刷卡还是其他任何需要的身份验证方法。我认为主要商业银行不太可能出现这种可能性,但信用合作社社区可能会尝试一下。
OpenID 与 (1) 您尝试登录的站点中最弱的站点一样安全;(2) 您的 OpenID 提供商;或 (3) DNS 系统。
推荐:
缺点:
这一事实的直接后果是,OpenID充其量只能与您尝试登录的站点一样安全。它永远不会更安全。
在 OpenID 协议中,重定向到您的提供商是在您登录的站点的控制之下,这会导致微不足道的网络钓鱼和中间人攻击。此类攻击将允许恶意站点在您不知情的情况下窃取您的 OpenID 凭据,然后他们可以稍后使用这些凭据以您身份登录任何其他启用 OpenID 的站点。
DNS 攻击更为复杂,但可以让攻击者让您的银行相信他是您的 OpenID 提供者。攻击者使用您的 OpenID 登录,并让他的虚假提供商向银行授权。在这种情况下,攻击者不需要对您进行网络钓鱼或了解您的密码或在您的计算机上安装任何东西 - 他只需要您的 OpenID。
同样,对您的 OpenID 提供商的攻击将允许攻击者在任何启用 OpenID 的站点上以您的身份登录,而无需知道您的密码。
有关 OpenID 弱点和攻击的更多信息,请访问 http://www.untrusted.ca/cache/openid.html。
OpenID 是一种协议。该协议非常安全,但后端验证方法并非必须如此。您可以运行 OpenId 门户,该门户将通过孟加拉国的 telnet 从 dos 框验证用户。
对银行来说足够安全吗?是的。事实上,我希望所有银行提供商都允许这样做。此外,如果您希望比其他技术提供商更信任银行提供商——如果他们愿意提供,那不是很好吗?