¿Existe algún peligro en los proveedores falsos de OpenID?

27

Me he estado preguntando. Dado que cualquiera puede iniciar un proveedor de OpenID, y dado que no hay una autoridad central que apruebe los proveedores de OpenID, ¿por qué los proveedores falsos de OpenID no se convertirán en un problema?

Por ejemplo, un spammer podría iniciar un proveedor OpenID con una puerta trasera para permitirse autenticarse como cualquier otro usuario que fue engañado para registrarse en su sitio. es posible? ¿Es la reputación del proveedor lo único que evita esto? ¿Vamos a ver listas negras de proveedores de OpenID y sitios de revisión de proveedores de OpenID en el futuro?

Probablemente no entiendo algo sobre OpenID por completo. Por favor iluminame :)

security openid amarillion
fuente

Respuestas:

16

OpenID NO es un protocolo intrínsecamente seguro: no tiene el poder de obligar a un proveedor deshonesto a proporcionar seguridad, ni 'investiga' a cada proveedor para garantizar que esté seguro.

OpenID es un mecanismo mediante el cual puede almacenar sus credenciales con un proveedor de confianza, y luego lo verificarán ante otros.

Si elige un proveedor no confiable, pueden ver y usar todo para lo que podría usar sus credenciales.

OpenID no es un reemplazo para la confianza.

-Adán

Adam Davis
fuente
¿Pero no se requiere una confianza implícita para que el sistema funcione? Si acepto las credenciales OpenID de Google y Yahoo, y una de ellas deja de ser confiable, ¿no estoy ahora en una situación en la que no puedo confiar en que mis usuarios son quienes dicen ser?
duffbeer703
1
OpenID no pretende verificar que el usuario sea algo para el sitio web del cliente. Todo lo que hace es decir: "La persona que está iniciando sesión ahora es la misma persona que configuró la cuenta -username- OpenID aquí", que puede ser útil para el seguimiento centralizado de nombre de usuario / contraseña, pero no le garantiza nada sobre ese usuario. simplemente que tenían las credenciales apropiadas de modo que el proveedor de OpenID esté convencido de que son ellos.
Adam Davis
Estoy usando el openid como una cadena de identificación única. ¿Hay alguna posibilidad de que un proveedor deshonesto me dé el mismo openid que un usuario legítimo de otro proveedor, por ejemplo, Yahoo?
Jus12
15

Sería casi lo mismo que tener un proveedor de correo electrónico "falso", que secuestraría los correos electrónicos de confirmación de los usuarios, etc. Solo la reputación lo impide. Poeple se registra en gmail.com o hotmail.com, pero no se registra en joesixpack.org.

vartec
fuente
Pero sí registran correos electrónicos desechables en mailinator.com, y estoy buscando un proveedor openid desechable; Necesito registrarme en un sitio horrible que requiere openId, y realmente no me importa registrarme bajo mi cuenta G o FB "real".
dan3
9

Jeff tiene una muy buena (y larga) publicación en el blog sobre este tema. Si no responde sus preguntas, ciertamente lo iluminará. Los comentarios también conducen a artículos muy ilustrativos . Muy recomendable.


fuente
0

La única forma en que puedo ver que un servidor OpenID "deshonesto" es un problema no es tanto un problema de seguridad de la aplicación web. Sin embargo, lo que está haciendo es proporcionar un sitio web con su identidad. Le dicen a las personas que eres quien eres, pero también tienen acceso a él. Si una persona maliciosa configura un servidor OpenID y la gente comienza a usarlo, el propietario del servicio malicioso podría suplantar a cualquiera que use su servidor.

La pregunta se reduce a ¿confía en los propietarios de su servidor OpenID?

TrueDuality
fuente
0

Mi problema con OpenID en general es que es nuevo y no hay estándares (de los que haya oído hablar en ninguna parte) que definan lo que hace a un "buen" proveedor de OpenID. Para los datos de la tarjeta de crédito, existen estándares PCI-DSS para administrar la información de la tarjeta de crédito, pero no hay equivalente para la identidad.

De acuerdo, es una nueva tecnología que generalmente se usa para aplicaciones con requisitos mínimos de "confianza". Pero en sitios como ServerFault, creo que necesita un nivel de confianza mayor que el de un blog, pero menor que el de un banco o un corredor en línea.

duffbeer703
fuente
Un marco potencial para evaluar la idoneidad de un proveedor de OpenID para sus necesidades de seguridad es el Marco de garantía de identidad de Liberty, pero actualmente hay muy poca conciencia de esto en el mercado de OpenID. projectliberty.org/strategic_initiatives/identity_assurance
keturn
0

Agregando a respuestas anteriores. Todavía no sé sobre las listas negras de OpenID, pero hay una iniciativa de voluntariado en las listas blancas de OpenID . Esa lista blanca es una tecnología distribuida (al igual que los certificados de correo electrónico, DNS, HTTPS), no hay un único punto de falla, no hay un único punto de confianza. Puedes confiar en la lista blanca de algunos chicos y él puede fingirla.

Existe la opinión de que esas listas blancas deben extenderse para proporcionar más información (no a nadie, por supuesto), como la actividad del usuario, la cantidad de publicaciones, la cantidad de advertencias de los moderadores, etc. Dado que OpenID es una identidad global, eso ayudaría a La información difundida casi instantáneamente como este usuario es un spammer. Lo que obligaría a los spammers a usar siempre una nueva identificación. Imagine que 1000 reputación en ServerFault lo convierte en un usuario confiable en miles de otros sitios web.

temoto
fuente
-2

Para aquellos que piensan que los consumidores de OpenId deberían permitir que cualquier proveedor de OpenId sea un autenticador, eso es una locura. Supongamos que tiene una lista de usuarios autorizados basada en un correo electrónico enviado por proveedores de OpenID. Una persona deshonesta configura su propio servicio de proveedor de OpenId y conoce el correo electrónico de uno de sus usuarios previamente autorizados. Esa persona deshonesta podría entonces 'autenticarse' como su usuario aceptado.

Si está tratando de proteger con openId, debe tener una lista blanca de proveedores en los que confía, de lo contrario, está bastante abierto a cualquiera que sepa cómo configurar un servicio de proveedor.

Troy Jordan
fuente
3
Tu respuesta es incorrecta. Así no es como funciona OpenID. El proveedor de OpenID no transfiere la dirección de correo electrónico del usuario al sitio como nombre de usuario.
cuello largo