¿Están comprometidos los inicios de sesión de OpenID con la violación de los foros de Ubuntu?

18

Sinceramente, no recuerdo lo que solía iniciar sesión en los foros de Ubuntu, pero estoy bastante seguro de que fue OpenID. ¿Debería Preocuparme?

georgebrindeiro
fuente
44
Votante (s) cercano (s) del OT: Esta pregunta definitivamente es sobre el tema; Aquí ayudamos a las personas con los recursos de la comunidad de Ubuntu ( "Servicios proporcionados por Ubuntu" ). Además, no pertenece a meta , que es solo para preguntas sobre Ask Ubuntu en sí (no sobre otros sitios relacionados con Ubuntu). Sin embargo, podría considerarse un duplicado de esta pregunta anterior . Si cerramos cualquiera de estos como un duplicado del otro, recomiendo fusionar sus respuestas.
Eliah Kagan
Acerca de combinar respuestas: había visto la otra pregunta pero no sabía si eso se aplicaba a mi caso, para ser honesto.
georgebrindeiro

Respuestas:

15

Dado que el inicio de sesión de OpenID siempre se procesa en el lado del emisor (por ejemplo, si usa OpenID que obtuvo de Launchpad, los Foros se pondrán en contacto con Launchpad y es Launchpad quien procesará su autenticación), los Foros no conservan su contraseña de OpenID (no No lo necesito en absoluto).

Por lo tanto, todo lo que los atacantes pueden obtener es su inicio de sesión de OpenID, pero no la contraseña, ya que en realidad no está allí.

Además, solo para completar, de acuerdo con este anuncio oficial , solo los Foros se ven afectados, no hay otros servicios.

Rafał Cieślak
fuente
1
No es solo el caso de que no necesitan guardarlo, sino que ni siquiera pueden guardarlo, ya que una buena parte que confía en OpenID nunca ve la contraseña del usuario.
Martin Thoma
8

De http://openid.net/

Con OpenID, su contraseña solo se le da a su proveedor de identidad, y ese proveedor luego confirma su identidad a los sitios web que visita. Además de su proveedor, ningún sitio web ve su contraseña, por lo que no debe preocuparse por un sitio web inescrupuloso o inseguro que comprometa su identidad.

El proveedor de identidad es, por ejemplo, Google y el sitio web que visita es UF.

Entonces sí, deberías estar a salvo.

Rinzwind
fuente
3

En términos generales (al menos que yo sepa, al menos) cuando se utiliza una cuenta de ID abierta para iniciar sesión, la autenticación es manejada exclusivamente por el sitio web externo (por ejemplo, si tuviera que usar Facebook para iniciar sesión aquí, la autenticación sería manejado exclusivamente por Facebook y no por Ask Ubuntu). El otro sitio solo entrega un identificador único que le dice al Foro de Ubuntu / Pregúntele a Ubuntu / lo que sea que sea, y no transmite ninguno de sus datos de inicio de sesión.

Por lo tanto, las contraseñas almacenadas (+ hash y saladas) por el foro de Ubuntu serían solo para cuentas locales (como se menciona en la sección "Lo que sabemos" de la página de mantenimiento actual)

Por supuesto, si todavía está preocupado por eso, no estaría de más cambiar sus contraseñas, y para su tranquilidad, probablemente sería una buena idea hacerlo de todos modos, pero que yo sepa, a menos que el servicio que utilizó para autenticar su Open ID fue violado (Google, Facebook, etc.) no debería haber demasiados motivos para preocuparse.

Consulte esta página en el sitio web de OpenID para obtener más detalles.

Jez W
fuente
1

Si realmente usó OpenID: No .

El proceso de inicio de sesión se ejecuta entre su proveedor de OpenID y usted. ¡Los servicios que le permiten usar OpenID ni siquiera ven su contraseña! No hay posibilidad de que ubuntuforums haya almacenado su contraseña.

Recursos de OpenID

Los siguientes recursos pueden ayudarlo a comprender cómo funciona OpenID.

Martin Thoma
fuente