Lavoro sempre con le API e collaboro con gli sviluppatori web che insistono sul fatto che OAuth, OpenID, ecc. sono di gran lunga superiori a un metodo di produzione casalinga. Ogni sito sembra utilizzarne anche ora per facilità d'uso per l'utente, ma anche per sicurezza. Lo sento ogni giorno quasi che è più sicuro, ma lo trovo estremamente difficile da credere per alcuni motivi:
-
Se un hacker ottiene in qualche modo la tua password su un sito, sa che ha accesso alla maggior parte dei siti che visiti ora.
-
Rende il phishing 10x più facile. Con così tante persone che usano lo stesso login e lo fanno, e più volte le persone hanno meno probabilità di leggere tutto e controllare l'URL in alto.
Potresti elencare più motivi per cui non è sicuro o potresti spiegarmi perché è più sicuro? Non vedo perché tu debba sopportare il fastidio di integrare uno di questi quando sembra che un utente possa entrare in 3 campi (nome utente, password, email) invece di fare clic sul logo del servizio per accedere (Twitter, Google, FB ecc.), Inserendo il proprio nome utente / password, facendo clic su Invia, facendo clic su Approva.
== Aggiornamento ==
Per espandere la mia domanda come da richiesta.
Per i miei due punti sopra, # 1 , non importa come l'hacker lo ottiene. Non sono sicuro su come espanderlo esattamente. Puoi forzarlo, indovinarlo, usare la password dimenticata e fare un attacco di dizionario su domande comuni, ecc. Ma comunque lo fai, 1 password per accedere a 1000 server è molto meno sicura di 1000 password per accedi a 1000 siti diversi. Posso indovinare personalmente alcune password dei miei amici e familiari e avere accesso a tutti i tipi di account. Non avrei nemmeno bisogno di cercarli. Mentre navigo nel web, devo solo loggarmi ... Se fossi un hacker, molte di queste password sono molto facili da decifrare. Alcune delle password dei miei amici sono, pepsi
, tina
(quindi anno di nascita), 123456
e altre stupide. Il mio preferito è tomcruisesucks
LOL.
Per il n. 2 punto, per espandere ulteriormente, potrei andare a link , link , link , link e hanno tutti un accesso su Twitter. Mi fido dei siti (per la maggior parte) quindi, sinceramente, non controllo più l'URL della finestra popup che viene visualizzata per accedere più e presumo che la maggior parte non lo faccia. Quella finestra popup avrebbe potuto essere facilmente hackerata da un hacker che entrava su uno dei suoi server, o un malvagio dipendente, o semplicemente un sito di app falso che un bot invia a persone su Twitter che più persone accedono a questa falsa app, ma usando l'accesso Twitter.
Le persone sono così abituate a vedere le stesse pagine di accesso che non sembrano più . Se questo thread diventa abbastanza popolare, posso facilmente fare un test super semplice su Twitter o FB inviando a tutti un link a un'app finta, una finestra popup che assomiglia a Twitter o FB e accedono. Lo garantisco. Se faccio andare la schermata di accesso, diciamo, link o link si chiederanno perché sono qui, perché hanno bisogno di queste informazioni, ecc. Gli stessi siti utilizzati per effettuare il login più e più volte sono estremamente difficili in pratica.
Questo è il mio punto di discussione espanso;)