क्या ओपन आईडी सुरक्षित है?

9

क्या ओपन आईडी सुरक्षित है, उदाहरण के लिए क्या आप इसका उपयोग बैंक खातों में लॉग इन करने के लिए कर सकते हैं?

security  openid 
डैनियल
स्रोत
1
हां, 2.0 बहुत सुरक्षित है। Go पढ़िए en.wikipedia.org/wiki/OpenID "OpenID प्रमाणीकरण का अपना रूप प्रदान नहीं करता है, लेकिन यदि कोई पहचानकर्ता मजबूत प्रमाणीकरण का उपयोग करता है, तो OpenID का उपयोग बैंकिंग और ई-कॉमर्स जैसे सुरक्षित लेनदेन के लिए किया जा सकता है।"
इवान कैरोल
1
हाँ, मुझे लगता है कि असली सवाल यह है ... क्या आपका ओपनआईडी प्रदाता सुरक्षित है?
एंडोर

जवाबों:

8

OpenID उतना ही सुरक्षित है जितना OpenID प्रदाता (यानी "यदि कोई आपके माइस्पेस खाते में सेंध लगाता है तो उन्हें आपके OpenID और इसका उपयोग करने वाली हर चीज तक पहुँच मिल गई है")।

व्यक्तिगत रूप से मैं इसे मूल्यवान किसी भी चीज के साथ भरोसा नहीं करूंगा। अधिकांश OpenID प्रदाताओं के पास एक बहुत घटिया सुरक्षा ट्रैक रिकॉर्ड होता है।

voretaq7
स्रोत
1
मुझे लगता है कि आप OpenID के लाभों की अनदेखी कर रहे हैं और उन्हें मात्र सुविधा के रूप में लिख रहे हैं।
इवान कैरोल
3
@ इवान: ओपनिड के बहुत सारे फायदे हैं - वास्तव में मैं एसओ त्रयी साइटों के लिए ओपन का उपयोग करता हूं। हालांकि कोई भी लाभ मेरी सुरक्षा चिंताओं को नकारता नहीं है, और मैं निश्चित रूप से अपने बैंक खाते की जानकारी के साथ अपने OpenID प्रदाता की सुरक्षा पर भरोसा नहीं कर
पाऊंगा
2
सुनिश्चित करें कि वे करते हैं, कैसे अपने बयान कम करने के बारे OpenID is as secure as the OpenID providerकरने के लिए, X is as secure as the X provider: इस स्थिति में आप सब पर कुछ भी यह कहते हुए नहीं कर रहे हैं। हालांकि आपका कथन सत्य है, यह निष्प्रभावी है: मुझे लगता है कि ओपनआईडी को स्थापित करने और बनाए रखने के लिए पर्याप्त ज्ञान रखने वाला कोई भी व्यक्ति कम से कम योग्यता के आधार पर बैंक के रूप में योग्य है कि एक तकनीकी समाधान बेच रहा है, जबकि दूसरा एक वित्तीय बेच रहा है । हाँ, मुझे भरोसा है कि मैं Google / Yahoo / Verisign से ज्यादा भरोसा करता हूँ, वाशिंगटन म्यूचुअल
इवान कैरोल
3
@ ईवन - किसी भी सेवा की परिभाषा केवल प्रदाता के रूप में सुरक्षित है। मेरी राय है कि ओपनआईडी, जबकि एक मूल्यवान प्रोटोकॉल, मेरे लिए इसके प्रदाताओं की सुरक्षा के लिए पर्याप्त संरचनात्मक गारंटी प्रदान नहीं करता है क्योंकि यह महत्वपूर्ण प्रमाणीकरण पर भरोसा करता है। आप मेरे आकलन से असहमत हैं, लेकिन मैंने जो कहा है, उसके पीछे मैं खड़ा हूं।
voretaq7
3
@ इवान, आप इस विषय के बारे में भावुक लग रहे हैं, यहां तक ​​कि जुनूनी होने के लिए भी। शायद आपको एक कदम वापस लेने और एक और नज़र रखने की ज़रूरत है। तथ्य यह है कि आप पर भरोसा OpenID यह सुरक्षित नहीं है। हम यह अविश्वास करने वाले पहले व्यक्ति नहीं हैं और निश्चित रूप से अंतिम नहीं होंगे। सुविधा कारक के रूप में, यह सवाल का विषय नहीं है।
जॉन गार्डनियर्स
5

हालांकि मैं voretaq7 से सहमत हूं कि OpenID केवल OpenID प्रदाता के रूप में सुरक्षित है, मुझे यह कहना होगा कि उपयोग करने के लिए OpenID प्रदाता का चयन करते समय, यह सुनिश्चित करने के लिए ध्यान रखा जाना चाहिए कि आप एक प्रतिष्ठित प्रदाता का उपयोग कर रहे हैं। यही विचार सुरक्षा के साथ सब कुछ लागू होता है। Google, AOL, और मुझे लगता है कि अब भी Verisign OpenIDs प्रदान करता है और इन कंपनियों / प्रदाताओं का एक अच्छा रिकॉर्ड है।

ओपनआईडी के प्रमुख लाभों में से एक घरेलू सुरक्षा या किसी अन्य तीसरे पक्ष के पैकेज पर यह है कि यह अधिकांश छोटे संस्थाओं की तुलना में अधिक अनुभव और अधिक संसाधनों के साथ कंपनियों के हाथों में सुरक्षा के प्रमाणीकरण पहलू को रखता है। वे अपने सर्वर और डेटा की सुरक्षा करने की बेहतर क्षमता रखते हैं। एक छोटी सी दुकान के कर्मचारी के रूप में, मैं निश्चित रूप से इस डेटा की सुरक्षा के लिए आवश्यक रूप से सर्वर, फायरवॉल आदि को सही ढंग से कॉन्फ़िगर करने के लिए खुद से अधिक Google पर भरोसा करूंगा।

हालांकि, OpenID सभी के सबसे खतरनाक पहलू के रूप में कमजोर है - जो उपयोगकर्ता कमजोर क्रेडेंशियल उठाते हैं।

DCNYAM
स्रोत
1
Google, Verisign, आदि संभवतः "OpenIDs" को यथोचित रूप से सुरक्षित कर रहे हैं, लेकिन कोई भी एक OpenID प्रदाता हो सकता है, और OpenID की पूरी अवधारणा (जैसा कि मैं इसे समझता हूं) किसी भी प्रदाता से वैध OpenID को स्वीकार करना है ताकि लोगों के पास न हो विभिन्न खातों का एक समूह स्थापित करने के लिए। असुरक्षित OpenID प्रदाता (या असुरक्षित पासवर्ड पुनर्प्राप्ति वाला एक) का चयन करने वाला कोई व्यक्ति लगभग उतना ही खतरनाक हो सकता है जितना कि उपयोगकर्ता abc123अपने पासवर्ड का उपयोग करते हैं ...
voretaq7
2
ऐसा प्रतीत होता है कि आसपास का एकमात्र खतरनाक व्यक्ति उपयोगकर्ता है। वे वही हैं जो पासवर्ड का चयन करते हैं, अगर वे OpenID का उपयोग करते हैं और यह किसका होना चाहिए। क्या यह हमारी जिम्मेदारी होनी चाहिए कि हम उन्हें खुद से बचाएं?
क्रिस
2
यदि आप एक ऐसी सेवा चला रहे हैं जो OpenIDs को प्रमाणीकरण के लिए स्वीकार करती है तो आप आसानी से अविश्वसनीय प्रदाताओं को ब्लैक-लिस्ट कर सकते हैं, या श्वेत-सूची ज्ञात अच्छे प्रदाताओं को। इस तरह आप उन प्रदाताओं से बच सकते हैं जो उपयोगकर्ता को असुरक्षित पासवर्ड सेट करने की अनुमति देते हैं।
गठरन
1
@ क्रिस: जब तक हमें किसी खाते से छेड़छाड़ करने पर दोष के तूफान के सामने खड़ा होना पड़ता है, हाँ - कम से कम आंशिक रूप से। (इसीलिए कुछ साइटों में पासवर्ड नीतियां होती हैं जैसे "> = 8 वर्ण, अल्फ़ान्यूमेरिक + कम से कम 1 विशेष वर्ण")।
voretaq7
@ voretaq7: कोई भी बैंक हो सकता है।
इवान कैरोल
5

OpenID किसी तीसरे पक्ष को प्रमाणीकरण सौंपने का एक तरीका है। बैंकिंग जैसे उच्च विश्वास एप्लिकेशन के लिए, जिसे आप प्रमाणीकरण सौंपते हैं, एक प्रमुख, प्रमुख सुरक्षा निर्णय है। ओपनआईडी प्रोटोकॉल जैसा कि यह खड़ा है, किसी भी मानक के लिए पर्याप्त है जो एकल-कारक प्रमाणीकरण (ओपनआईडी ऑक्टोर-टोकन) या सिस्टम को पर्याप्त प्रमाणीकरण सुरक्षा उपायों के लिए प्रत्यायोजित प्रमाणीकरण की अनुमति देता है।

अगला सवाल: क्या ऑनलाइन बैंकिंग के लिए कोई भी वर्तमान ओपनआईडी प्रदाता पर्याप्त सुरक्षित हैं?

यह एक अलग सवाल है, और शायद अभी नकारात्मक है। हालाँकि, कुछ भी नहीं है (तकनीकी) रोक, कहते हैं, एक एकल बैंकिंग ओपनआईडी प्रदाता बनाने के लिए संसाधनों को पूल करने वाले अमेरिकी बैंकों के एक संघ ने कहा कि एक मानक का पालन किया जाता है और ऑडिट किया जाता है। वह OpenID प्रदाता जो भी प्रमाणीकरण विधियों की आवश्यकता होती है, उसका उपयोग कर सकता है, जैसे कि SiteKey, SecureID, Smart Card Swipe, या जो कुछ भी मांग की गई हो। मैं इस संभावना को प्रमुख वाणिज्यिक बैंकों के लिए असंभाव्य मानता हूं, लेकिन क्रेडिट यूनियन समुदाय शायद इसे आजमा सकता है।

sysadmin1138
स्रोत
1
मैं VeriSign PIP और शायद MyOpenID को बैंकिंग के लिए पर्याप्त सुरक्षित मानूंगा।
user1686
2

OpenID सबसे कमजोर है (1) जिस साइट पर आप लॉग इन करने का प्रयास कर रहे हैं, वह सबसे कमजोर है; (2) आपका OpenID प्रदाता; या (3) डीएनएस सिस्टम।

सिफ़ारिश करना:

  • अपने बैंक की अनुशंसित सुरक्षा / लॉगिन प्रणाली का उपयोग करें, और सेवा के नियमों और शर्तों को समझें ताकि आप अपने अधिकारों को जान सकें यदि आपका खाता समझौता किया हुआ है।
  • अपने बैंक को OpenID अपनाने के लिए प्रोत्साहित न करें, क्योंकि इससे उनकी सेवा की सुरक्षा कम हो जाएगी।

कमजोरियों:

इस तथ्य का एक तात्कालिक परिणाम यह है कि ओपनआईडी उस साइट पर सबसे अधिक सुरक्षित हो सकती है , जिस साइट पर आप लॉग इन करने की कोशिश कर रहे हैं; यह कभी भी अधिक सुरक्षित नहीं हो सकता है ।

OpenID प्रोटोकॉल में अपने प्रदाता के लिए पुनर्निर्देशन उस साइट के नियंत्रण में है जिसे आप लॉग इन कर रहे हैं, जिससे तुच्छ फ़िशिंग और मानव-में-मध्य हमले होते हैं। इस तरह के हमलों से एक शत्रुतापूर्ण साइट को आपके ओपनआईडी क्रेडेंशियल्स को चोरी करने की अनुमति मिल जाएगी , जो आप जानते हुए भी बाद में किसी अन्य ओपनआईडी-सक्षम साइट में लॉग इन करने के लिए उपयोग कर सकते हैं।

DNS हमले अधिक जटिल हैं, लेकिन एक हमलावर को आपके बैंक को यह समझाने की अनुमति देगा कि वह आपका OpenID प्रदाता है। हमलावर आपके OpenID का उपयोग करने में लॉग इन करता है, और उसके फर्जी प्रदाता बैंक को प्राधिकरण देता है। इस मामले में हमलावर को आपको फिश करने या अपना पासवर्ड सीखने या अपने कंप्यूटर पर कुछ भी स्थापित करने की आवश्यकता नहीं है - उसे केवल आपकी ओपनआईडी की आवश्यकता है।

इसी तरह आपके OpenID प्रदाता पर हमला करने वाले को आपके पासवर्ड को जाने बिना किसी भी OpenID- सक्षम साइट पर आप के रूप में लॉग इन करने की अनुमति होगी।

OpenID की कमजोरियों और http://www.untrusted.ca/cache/openid.html पर हमलों के बारे में अधिक जानकारी ।

Twylite
स्रोत
1

OpenID एक प्रोटोकॉल है। प्रोटोकॉल बहुत सुरक्षित है, हालांकि बैकएंड-ऑर्टिक विधि नहीं है। आप एक OpenId पोर्टल चला सकते हैं जो एक उपयोगकर्ता को बांग्लादेश में टेलनेट पर डॉस बॉक्स से मान्य करेगा।

क्या यह बैंकिंग के लिए पर्याप्त सुरक्षित है? हाँ। वास्तव में मैं चाहता हूं कि सभी बैंकिंग प्रदाता इसकी अनुमति दें। इसके अलावा, यदि आप अन्य प्रौद्योगिकी प्रदाताओं की तुलना में बैंकिंग प्रदाताओं पर भरोसा करना चाहते हैं - तो क्या यह अच्छा नहीं होगा यदि वे इसे प्रदान करेंगे?

इवान कैरोल
स्रोत
1
सिर्फ इसलिए कि एक बैंक को आपके पैसे सौंपे जाते हैं, क्या यह उन्हें डिजिटल पहचान को संभालने के योग्य बनाता है?
क्रिस
1
@ क्रिस: नहीं, यह नहीं है। लेकिन लगता है कि इस धागे का चलन है। मैं बल्कि बैंकों को पैसे से निपटने के लिए छड़ी देता हूं और मेरे प्रमाणीकरण को संभालने के लिए Google का उपयोग करता हूं। मुद्दा यह है कि इससे कोई फर्क नहीं पड़ता कि आप किस पर भरोसा करते हैं, बैंक या बैंक के अलावा कोई और: यदि हर बैंक एक ओपनिड प्रदाता और उपभोक्ता था, तो आप Google पर उनके प्रमाणीकरण का उपयोग कर सकते थे, या Google का बैंक पर - ओपनआईडी सिर्फ उन्हें संवाद करने की अनुमति देने के लिए प्रोटोकॉल।
इवान कैरोल
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.