Apakah ada bahaya pada penyedia OpenID palsu?

27

Saya bertanya-tanya. Karena siapa pun dapat memulai penyedia OpenID, dan karena tidak ada otoritas pusat yang menyetujui penyedia OpenID, mengapa penyedia OpenID palsu tidak akan menjadi masalah?

Misalnya, seorang spammer dapat memulai penyedia OpenID dengan pintu belakang untuk membiarkan dirinya mengotentikasi seperti pengguna lain yang tertipu untuk mendaftar di situsnya. Apakah ini mungkin? Apakah reputasi penyedia satu-satunya hal yang mencegah ini? Apakah kita akan melihat daftar hitam penyedia OpenID dan situs ulasan penyedia OpenID di masa mendatang?

Mungkin saya tidak mengerti sepenuhnya tentang OpenID. Tolong beri tahu saya :)

amarillion
sumber

Jawaban:

16

OpenID BUKAN protokol yang secara intrinsik aman - ia tidak memiliki kekuatan untuk memaksa penyedia nakal untuk memberikan keamanan, juga tidak 'memeriksakan' setiap penyedia untuk memastikan mereka aman.

OpenID adalah mekanisme di mana Anda dapat menyimpan kredensial Anda dengan penyedia tepercaya, dan mereka kemudian akan memverifikasi Anda kepada orang lain.

Jika Anda memilih penyedia yang tidak dapat dipercaya, mereka dapat melihat dan menggunakan semua yang Anda mungkin gunakan untuk kredensial Anda.

OpenID bukan pengganti kepercayaan.

-Adam

Adam Davis
sumber
Tetapi bukankah kepercayaan implisit diperlukan agar sistem bekerja? Jika saya menerima kredensial Google dan Yahoo OpenID, dan salah satunya menjadi tidak dapat dipercaya, maka bukankah sekarang saya berada dalam situasi di mana saya tidak dapat percaya bahwa pengguna saya adalah mereka yang mereka katakan?
duffbeer703
1
OpenID tidak dimaksudkan untuk memverifikasi bahwa pengguna adalah apa saja di situs web klien. Yang perlu dilakukan adalah mengatakan, "Orang yang masuk sekarang adalah orang yang sama yang menyiapkan akun -username- OpenID di sini" yang dapat berguna untuk pelacakan nama pengguna / kata sandi terpusat, tetapi tidak menjamin Anda tentang pengguna itu - hanya bahwa mereka memiliki kredensial yang sesuai sehingga penyedia OpenID yakin bahwa itu adalah mereka.
Adam Davis
Saya menggunakan openid sebagai string pengenal unik. Apakah ada kemungkinan penyedia jahat memberi saya openid yang sama dengan beberapa pengguna yang sah pada penyedia lain, katakanlah Yahoo?
Jus12
15

Ini hampir sama dengan memiliki penyedia email "palsu", yang akan membajak email konfirmasi pengguna, dll. Hanya reputasi yang mencegahnya. Poeple mendaftar di gmail.com atau hotmail.com, tetapi jangan mendaftar di joesixpack.org.

vartec
sumber
Tetapi mereka mendaftarkan email sekali pakai di mailinator.com, dan saya mencari penyedia layanan openid sekali pakai; Saya perlu mendaftar di situs jelek yang membutuhkan openId, dan saya benar-benar tidak peduli untuk mendaftar di akun G atau FB "asli" saya.
dan3
9

Jeff memiliki posting weblog yang sangat bagus (dan panjang) tentang topik ini. Jika itu tidak menjawab pertanyaan Anda, itu pasti akan mencerahkan Anda. The komentar juga menyebabkan sangat ilustrasi artikel. Sangat dianjurkan.


sumber
0

Satu-satunya cara saya dapat melihat server OpenID "nakal" menjadi masalah bukanlah masalah keamanan aplikasi web. Apa yang Anda lakukan adalah menyediakan satu situs web dengan Identitas Anda. Mereka memberi tahu orang-orang bahwa Anda adalah siapa Anda, tetapi mereka juga memiliki akses ke sana. Jika orang jahat menyiapkan server OpenID dan orang-orang mulai menggunakannya, pemilik layanan jahat dapat menyamar sebagai orang yang menggunakan server mereka.

Pertanyaannya muncul untuk Anda percayai pemilik server OpenID Anda?

TrueDuality
sumber
0

Masalah saya dengan OpenID secara umum adalah itu baru dan tidak ada standar (yang saya dengar di mana saja) yang menentukan apa yang membuat penyedia OpenID "baik". Untuk data kartu kredit, ada standar PCI-DSS untuk mengelola info kartu kredit - tetapi tidak ada yang setara untuk identitas.

Memang, ini adalah teknologi baru yang umumnya digunakan untuk aplikasi dengan persyaratan "kepercayaan" minimal. Tetapi di situs-situs seperti ServerFault, saya pikir Anda memerlukan tingkat kepercayaan yang lebih besar daripada blog, tetapi kurang dari bank atau broker online.

duffbeer703
sumber
Satu kerangka kerja potensial untuk mengevaluasi kesesuaian penyedia OpenID untuk kebutuhan keamanan Anda adalah Kerangka Kerja Jaminan Identitas Liberty, tetapi saat ini sangat sedikit kesadaran akan hal ini di pasar OpenID. projectliberty.org/strategic_initiatives/identity_assurance
keturn
0

Menambahkan ke jawaban sebelumnya. Belum tahu tentang daftar hitam OpenID, tetapi ada inisiatif sukarela tentang daftar putih OpenID . Daftar putih itu adalah teknologi terdistribusi (seperti halnya e-mail, DNS, sertifikat HTTPS), tidak ada titik kegagalan tunggal, tidak ada titik kepercayaan tunggal. Anda mungkin mempercayai daftar putih beberapa pria dan dia bisa memalsukannya.

Ada pendapat bahwa daftar putih itu harus diperluas untuk memberikan lebih banyak informasi (bukan kepada siapa pun, tentu saja), seperti aktivitas pengguna, jumlah posting, jumlah peringatan dari moderator, dll. Karena OpenID adalah identitas global, yang akan membantu untuk informasi yang menyebar hampir seketika seperti pengguna ini adalah spammer. Yang mana akan memaksa spammer untuk selalu menggunakan id baru. Bayangkan bahwa 1000 reputasi di ServerFault menjadikan Anda sebagai pengguna tepercaya di ribuan situs web lain.

temoto
sumber
-2

Bagi mereka yang berpikir bahwa konsumen OpenId harus membiarkan penyedia OpenId menjadi autentikator, itu hanya pembicaraan gila. Katakanlah Anda memiliki daftar pengguna resmi berdasarkan email yang diteruskan dari penyedia openid. Beberapa orang jahat membuat layanan penyedia OpenId mereka sendiri dan mengetahui email dari salah satu pengguna Anda yang sebelumnya resmi. Orang jahat itu kemudian dapat 'membuktikan' dirinya sebagai pengguna yang Anda terima.

Jika Anda mencoba untuk mengamankan dengan openId, Anda harus memiliki daftar putih penyedia yang Anda percayai, jika tidak, Anda cukup terbuka untuk siapa saja yang tahu cara mengatur layanan penyedia.

Troy Jordan
sumber
3
Jawaban Anda salah. Itu bukan cara kerja OpenID. Penyedia OpenID tidak meneruskan alamat email pengguna kembali ke situs sebagai nama pengguna.
longneck