क्या OpenID यह हैक करना आसान है या मैं कुछ याद कर रहा हूं?

18

उन रॉलिंग पार्टियों (RP) के लिए जो उपयोगकर्ता को OpenID प्रदाता (OP) निर्दिष्ट करने की अनुमति देते हैं, यह मुझे ऐसा लगता है जो आपके OpenID को जानता या अनुमान लगा सकता है।

  1. अपना ओपी पता दर्ज करें।
  2. क्या यह आपके OpenID के मालिक के रूप में मान्य है।
  3. आरपी पर अपना खाता एक्सेस करें।

आरपी "केवल ओपीडी को मूल ओपी द्वारा मान्य करने की अनुमति देकर इसे रोकने के लिए उपाय कर सकता है, लेकिन ...

  1. आप कैसे जानते हैं कि वे क्या करते हैं?
  2. आप कभी भी अपने ओपीआईडी ​​को बदले बिना अपना ओपी नहीं बदल सकते थे।
security  authentication  openid 
डेविड
स्रोत

जवाबों:

7

ओपनआईडी उन प्रणालियों में से एक है जहां आपको अंतिम बिंदुओं पर भरोसा करना होगा। यदि आरपी भरोसेमंद नहीं है, तो इस तरह का एसोसिएशन विषाक्तता पूरी तरह से संभव है। अगर आरपी वास्तव में भरोसेमंद है, तो इस तरह का हमला बहुत कठिन है। इस हमले के प्रति संवेदनशील न होने के लिए 'काम' स्थानीय सुरक्षा सिद्धांत की कुंजी है (सर्वरफॉल्ट पर यह बैकएंड डेटाबेस में आपके उपयोगकर्ता नाम का प्रतिनिधित्व होगा) विदेशी ओपनआईडी समापन बिंदु (ओपनआईडी यूआरएल, सर्वरफॉल्ट) आपको कई गुना संबद्ध करने की अनुमति देता है इनमे से)।

आप अभी भी RP के हिस्से पर DNS विषाक्तता के हमले के माध्यम से हमला कर सकते हैं, जैसे कि, * .livejournal.com एक ओपी पर पुनर्निर्देशित हो जाता है जिसे आपने हमले के लिए विशेष रूप से तैयार किया है। लेकिन यह डीएनएस विषाक्तता का हमला है, ओपेनआईडी में कोई दोष नहीं है। OpenID सिर्फ DNS पॉइज़निंग के लिए असुरक्षित है।

sysadmin1138
स्रोत
इस मामले में एक भरोसेमंद आरपी अविश्वसनीय हो सकता है क्योंकि वे मानते हैं कि ओपनआईडी खुद में सुरक्षित है।
डेविड
इसे पढ़ने के बाद मैंने खुद को Openid.net पर पाया, और पहली चीज़ जो मैंने देखी, वह थी "द फाउंडेशन ऑफ़ इंटरनेट आइडेंटिटी", जिसमें तीन हाथों में जेंगा खेलते हुए एक स्टॉक फोटो की पृष्ठभूमि पर थी - प्रत्येक एक बहुत ही अस्थिर से एक टुकड़ा उठाते हुए- टॉवर देख रहे हैं।
एंड्रियास
2

मुझे लगता है कि आप OpenID और उपयोगकर्ता सुरक्षा के अन्य भागों को भ्रमित कर रहे हैं। आपका ओपी प्रमाणीकरण तंत्र है, आपका खाता नहीं। यहाँ ServerFault पर, आपका एक खाता है। उस खाते के पास प्रमाणीकरण का कोई साधन नहीं है; इसके अलावा आप इसे एक या एक से अधिक ओपी की ओर इशारा करते हैं।

जब आप अपने खाते में SF के रूप में लॉगिन करने का प्रयास करते हैं, तो यह आपके ओपी को प्रमाणीकरण को संभालने के लिए कहता है। केवल वह ओपी (या एकाधिक ओपी, हालांकि आपके पास यह सेटअप है) आपको अपने एसएफ खाते के प्रयोजनों के लिए प्रमाणित कर सकता है।

एक सामान्य लॉगिन सिस्टम के तीन भाग होते हैं (ट्रिपल "ए", या सिर्फ "एएए" कहा जाता है):

  • लेखांकन - साइट के लिए आपके नाम और जानकारी पर विशेष नज़र रखता है (जैसे पोस्ट, संदेश, आदि)
  • प्रमाणीकरण - यह सुनिश्चित करने के लिए कि यह वास्तव में आप है (आमतौर पर एक पासवर्ड) का ट्रैक रखता है
  • प्राधिकरण - आपकी अनुमतियों पर नज़र रखता है (विभिन्न चीजों तक पहुंच पढ़ें या लिखें)

आप विकिपीडिया पर AAA सिस्टम के बारे में अधिक पढ़ सकते हैं ।

क्रिस एस
स्रोत
अगर मैं हर बार लॉग इन करने के लिए किसी भी ओपी को निर्दिष्ट करने की अनुमति देता हूं, तो दुर्भावनापूर्ण उपयोगकर्ता मेरे खाते को हैक करने की कोशिश करते समय किसी भी ओपी को निर्दिष्ट कर सकता है। इस प्रकार वे अपना स्वयं का ओपी निर्दिष्ट करते हैं और पहुंच प्राप्त करते हैं।
डेविड
नहीं, आप उन्हें केवल अपने खाते के लिए अतिरिक्त OpenID अंक जोड़ने के लिए लॉग इन करने की अनुमति देंगे। एसओ इसे इस तरह करता है।
सइयोजोज
2
@ डेविड, जब आप लॉगिन करते हैं तो आप किसी खाते को निर्दिष्ट नहीं कर रहे हैं और एक OpenID जिसे आप केवल OpenID निर्दिष्ट करते हैं । उस OpenID को पहले से ही किसी खाते से जोड़ा जाना चाहिए, अन्यथा आपको एक नया खाता बनाने का विकल्प मिलता है (कम से कम यहाँ SF पर)।
क्रिस एस
1

दाऊद, तुम्हारी धारणा झूठी है। OpenID इस तरह से काम करता है: 1) आप साइट relyingparty.com पर लॉग इन करना चाहते हैं। 2) आप relyingparty.com देते हैं। अपने OpenID, जैसे david.com 3) relyingparty.com चेक david.com (अरे, यह एक URL है एक के लिए तो OpenID समापन बिंदु कहा जाता है, जो david.com पर पाया जा सकता है, लेकिन प्रतिनिधिमंडल के माध्यम से भी कहीं और, जैसे कि yahoo.com या google.com। चलो इसे davidsopenidprovider.com 4 कहते हैं) अब आप davidsopenidprovider.com पर पुनः निर्देशित कर रहे हैं। davidsopenidprovider.com का काम आपको प्रमाणित करना है। आपको davidsopenidprovider.com पर लॉग इन करना होगा। यह davidsopenidprovider.com पर है कि यह लॉगिन कैसे काम करता है। यह उपयोगकर्ता नाम / पासवर्ड हो सकता है, यह सूचना कार्ड, ब्राउज़र प्रमाणपत्र, उंगलियों के निशान, स्मार्ट कार्ड, कॉल सत्यापन जैसे आउट-ऑफ-बैंड तंत्र हो सकता है ... यह davidsopenidprovider पर निर्भर है। com यह प्रमाणीकरण कैसे संभालता है। तब यह पूछता है कि क्या आप वास्तव में relyingparty.com पर लॉग इन करना चाहते हैं। 5) यदि आपने davidsopenidprovider.com में सफलतापूर्वक लॉग इन किया है, तो आपको relyingparty.com पर वापस भेज दिया जाएगा और स्वचालित रूप से वहां लॉग इन किया जाएगा। 6) davidsopenidprovider.com केवल relyingparty.com को आश्वासन देता है कि आप वो हैं जो आप दावा करते हैं कि आप हैं। यह कोई पासवर्ड नहीं भेजता है।

इसलिए आपकी धारणा "एक उपभोक्ता के रूप में, जब मैं any-site.com पर एक खाता बनाता हूं, तो मेरे पास डेवलपर्स / साइट प्रबंधकों की बुद्धिमत्ता की कोई धारणा नहीं है।" OpenID के संबंध में गलत है। यदि कोई कमजोर बिंदु है, तो यह प्रदाता है, लेकिन कोई भी-.com.com नहीं। अब पारंपरिक उपयोगकर्ता नाम / पासवर्ड लॉगिन के साथ समस्या है। आपको प्रत्येक साइट पर भरोसा करना होगा जो उस तरह से लॉगिन प्रदान करता है और केवल एक ही नहीं, आपका ओपनआईडी प्रदाता।

मुझे उम्मीद है कि इससे ओपनआईडी को समझने में मदद मिलेगी।

0

आप कैसे जानते हैं कि वे क्या करते हैं?

उसी तरह जब आप जानते हैं कि कोई भी पुरानी साइट आपके पासवर्ड के साथ किसी और के पास जा रही है - तो आप नहीं। इसीलिए आप एक प्रतिष्ठित कंपनी होने की संभावना का उपयोग करें।

आप कभी भी अपने ओपीआईडी ​​को बदले बिना अपना ओपी नहीं बदल सकते थे।

जरूर आप कर सकते हो। OpenID प्रतिनिधिमंडल में देखें।

मेरा OpenID http://ceejayoz.com/ है , लेकिन मेरा OP WordPress.com है। Http://ceejayoz.com/META के सिर में दो टैग मुझे ऐसा करने की अनुमति देते हैं, और मैं इसे कभी भी पसंद कर सकता हूं।

ceejayoz
स्रोत
0

आपका OpenID आपका प्रदाता है। pwnguin.netमेरा ओपनआईडी है यह अनुमान लगाने के अधीन नहीं है, यह केवल एक ज्ञात तथ्य है। मेरी ओपनआईडी की सुरक्षा क्या है pwnguin.net पर चलने वाला सॉफ्टवेयर, जो केवल इस बात की पुष्टि करता है कि यदि प्रश्न में आगंतुक के पास एक कुकी है।

मैं नहीं कहूंगा कि ओपनआईडी सुरक्षित है; सभी प्रकार की क्रॉस साइट स्क्रिप्टिंग है जो चल सकती है, या कुछ सांसारिक विवरण जिन्हें मैं अनदेखा करता हूं या गलत हो जाता है।

jldugger
स्रोत
0

यह वही है जो मैंने यहाँ से उत्तर दिया है ...

OpenID केवल उतना ही सुरक्षित है जितना कि इसमें शामिल पार्टियां और यह किसी भी प्रमाणीकरण पद्धति का सच है। मैंने महसूस किया कि इससे पहले कि मैंने यह चर्चा शुरू की।

OpenID के साथ मुद्दा, जैसा कि मुझे लगता है कि यह दो गुना है ...

  1. आपका लॉगिन अब केवल आपके और आपके द्वारा उपयोग की जाने वाली साइट के बीच साझा किया जाने वाला रहस्य नहीं है। यह आपका OpenID है और आपके द्वारा उपयोग की जाने वाली प्रत्येक साइट से जाना जाता है, और यह ईमेल पते या आपके ईमेल पते या कुछ इसी तरह से प्राप्त की गई चीज़ की तरह आसानी से अनुमान लगाया जा सकता है।

  2. आरपी अपनी साइट पर ओपनआईपी लागू कर सकता है, यह मानते हुए कि वह व्यापक रूप से स्वीकृत 'प्रोटोकॉल' का उपयोग कर रहा है, क्योंकि यह सुरक्षित है। दी गई, अधिकांश रन-ऑफ-द-मिल वेब साइट डेवलपर्स के पास इस बात की कोई सही अवधारणा नहीं है कि किसी साइट को कैसे सुरक्षित किया जाए, लेकिन अगर वे अपनी सुरक्षा को लागू करते हैं, तो कम से कम # 1 मुद्दा खेल में नहीं आता है।

एक उपभोक्ता के रूप में, जब मैं any-site.com पर एक खाता बनाता हूं, तो मेरे पास डेवलपर्स / साइट प्रबंधकों की बुद्धिमत्ता की कोई धारणा नहीं है। मैं एक आईडी का उपयोग करता हूं जो मुझे नहीं लगता कि आसानी से अनुमान लगाया जा सकता है। मैं नहीं चाहता कि serverfault.com मुझे पता है जिसका उपयोग मैं Etrade.com पर लॉगिन करने के लिए कर रहा हूं। मैं हर साइट पर एक अलग पासवर्ड का उपयोग करता हूं और उन पासवर्ड को अपनी योजना के साथ प्रबंधित करता हूं। यह अत्यधिक संभावना नहीं है कि मेरा खाता तब तक समाहित किया जाएगा जब तक कि साइट ऑपरेटर कुल बेवकूफ न हों।

OpenID के साथ, WEB में हर कोई जानता है कि यह कैसे काम करता है और इस पर हमला कैसे करना चाहिए, क्या आरपी को उचित उपाय नहीं करना चाहिए।

मुझे ओपन सोर्स सॉफ्टवेयर बहुत पसंद है, लेकिन ओपनआईडी के मामले में मुझे लगता है कि यह इस संभावना को खोलता है कि अनसोचेटिंग अपनाने वालों के लिए हीन कार्यान्वयन उपलब्ध होगा।

मुझे लगता है कि यह सब अनुमोदन के कुछ हस्ताक्षरित मुहर द्वारा हल किया जा सकता है जो उपभोक्ता को आश्वासन देता है कि साइट ने एक ऑडिट पारित किया है और हैक करने के लिए व्यवहार्य नहीं है।

शायद मैं सिर्फ पागल हूं।

मैं इस पुराने को जानता हूं, लेकिन ओपनआईडी "आईडी" को जानना बेकार है ... उदाहरण के लिए Google एक्सरी सिंगल यूजर के लिए ठीक उसी यूआरएल का उपयोग करता है। यह जानने में कैसे मदद मिलती है कि आप मेरे रूप में स्टैकओवरफ्लो में प्रवेश कर सकते हैं (यह जानने के अलावा कि यदि आप मेरा Google खाता हैक कर सकते हैं तो आप मेरे रूप में प्रमाणित हो सकते हैं, लेकिन यह "उपयोगकर्ता नाम / पासवर्ड भूल गए" से अलग नहीं है)।
jmoreno
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.