Как безопасный открыт?
Это - что-то, что может использоваться для очень безопасной информации, или она должна быть обойдена для единственной системы аутентификации сайта? Это может быть глупым вопросом (поскольку это не звучит безопасным), но я хотел бы некоторый совет.
4 ответа
OpenID сам по себе не менее безопасен, чем традиционный вход по схеме "имя пользователя+пароль".
Очевидно, что вы доверяете большую часть безопасности провайдеру - например, предотвращение перебора, политика размера пароля и т.д.
Не стал бы использовать его, например, для онлайн-банкинга, не потому, что сам протокол OpenID небезопасен, а из-за особенностей использования.
высокозащищенная информация
Финансовая информация? Совершенно секретная информация Министерства обороны? Действительно защищенная информация недоступна через Интернет, только в локальной сети или через VPN, что переносит часть безопасности на сетевой уровень. Действительно очень защищенная информация находится на компьютере без подключения к сети...
Существует теория, что пользователь, имея всего один пароль для своей учетной записи OpenID, имеет возможность выбрать пароль приличной силы, что менее вероятно, когда ему приходится запоминать х паролей.
OpenID сам по себе безопасен, однако из-за своей децентрализованной природы он часто предполагает, что три сервера являются "надежными". Если эти серверы не заслуживают доверия, то ваша безопасность теряется.
Например, если вы используете свой сайт в качестве идентификатора, но делегируете аутентификацию стороннему поставщику, то если ваш сайт, или поставщик идентификационных данных, или потребительский сервер будут взломаны, то информация будет небезопасна.
Если вы хотите использовать OpenID внутри компании и использовать только свой собственный защищенный сервер в качестве провайдера OpenID, то вы должны быть достаточно защищены. Но если вы хотите, чтобы люди "приносили свои собственные учетные записи OpenID", то OpenID - не лучший выбор.
В общем, это не более или менее безопасно, чем обычная аутентификация пользователя / пароля, но с одним важным отличием (IMO). OpenID позволяет пользователю входить в систему несколькими различными способами (Google, AOL, Yahoo и т. Д.). Если бы кто-то его взломал, ему пришлось бы выполнять каждую отдельную услугу. У вас есть возможность запретить использование определенных сервисов, если вы сочтете, что один из них менее безопасен.
OpenID технически совершенен, но может быть непонятен некоторым пользователям. Я рекомендую просмотреть ответы на этот вопрос. Для очень приватной информации я бы с осторожностью использовал OpenID, потому что:
Поскольку логин используется так широко и так часто, существует больше возможностей для случайного раскрытия пароля. Особое беспокойство может возникнуть, если другой сайт с поддержкой OpenID, на котором зарегистрирован пользователь, однажды спросит его настоящий пароль... некоторые пользователи могут ввести его без раздумий, не понимая, что они обходят модель безопасности OpenId".
Если вы сомневаетесь в безопасности OpenID, пользователи также могут иметь такие сомнения. С точки зрения бизнеса, стоит ли рисковать тем, что вас воспримут как небезопасного? (Конечно, это по крайней мере лучше, чем наоборот - плохая безопасность воспринимается как безопасная!)
Существует тенденция предлагать вход с помощью OpenID на сайтах социальных сетей и т.п., но я сомневаюсь, что мы увидим его широкое применение для защиты чрезвычайно чувствительных данных.