Ci sono rischi di usare lo stesso provider OpenID per siti con diversi livelli di sicurezza?

Naviga le tue risposte
5

Io uso sempre lo stesso provider OpenID (Google, con una strong pw univoca e un'autenticazione a 2 fattori) in ogni sito che lo supporta, senza pensarci due volte. A mio avviso, finché il fornitore è sicuro, non importa se uno o più di questi siti vengono compromessi, il resto rimarrà al sicuro.

Tuttavia, un commento in un'altra domanda mi ha messo in dubbio:

One part of the issue is that you "lose" control of your users' identities, so you might be exposing your data (...). However, typically a user will use his OpenId for several sites, some of lower security, which might potentially put his identity on the higher-security site at risk. (A question of trust boundaries and attack surface). BUT, if he wants to mix identity between secure- and not-so-much sites, that could be his choice.

Ho letto di identità incentrate sull'utente e centrate sull'azienda e alcuni concetti correlati , ma non è stato possibile capire come ciò possa accadere. Dopotutto, ogni Relying Party si fida solo del provider OpenID, non necessariamente l'un l'altro. L'attività in una di esse non verrà approvata dall'altra, anche se viene segnalata come collegata allo stesso account OpenID. Inoltre, le informazioni sensibili in un RP non troveranno necessariamente la loro strada verso l'OP, tanto meno saranno disponibili per i restanti RP.

E comunque, un sito (o una raccolta di siti correlati) può creare il proprio "personaggio" indipendentemente dal metodo di autenticazione. StackExchange, ad esempio, ha un singolo profilo di rete che centralizza tutte le azioni dello stesso utente attraverso i suoi numerosi siti e, allo stesso tempo, consente a ciascun utente di autenticarsi allo stesso account attraverso molti provider OpenID (se entrambi i fornitori sono compromessi, quindi ovviamente l'account utente sarà a rischio, ma non se tutti i provider sono sicuri e qualche altra parte relying - collegata a uno di essi - si comporta male).

Mi manca qualcosa? Devo utilizzare provider diversi per siti a cui tengo più o meno, o è giusto continuare a usarne uno per tutto?

P.S. Quando leggo per la prima volta "Ho appena effettuato l'accesso come te" e il suo follow-up Ho pensato che fosse un problema con OpenID, ma dopo un'attenta lettura ho capito che il vero problema affrontato da Jeff era il riutilizzo della password, e oltre al fatto che il suo account provider sarebbe stato comunque sicuro. È corretto, o esiste davvero una possibilità che una parte di compromissione compromessa possa finire per interferire con il provider OpenID?

    
posta mgibsonbr 22.02.2013 - 01:14
fonte

1 risposta

5

Il rischio qui è il personaggio online stesso e ciò che si tradurrebbe in attacchi di social engineering. Supponiamo che tu utilizzi google come openid authenticator e lo abbia collegato ai siti di scambio di stack insieme a una raccolta di altri siti. Prima di questo, potresti aver usato lo stesso nome utente e tutto il resto su tutti i siti ma era tutta un'associazione lenta che le persone non userebbero per fidarsi del fatto che "mgibsonbr" sei tu. Bene, ora le persone possono vedere su siti come lo stack exchange, reddit e shodanhq, mgibsonbr è collegato direttamente al tuo account gmail e si fidano che in realtà stanno parlando con te.

Ora diciamo che qualcuno compromette lo scambio di stack e può impersonare qualsiasi utente. Grande affare vero? tutto quello che possono fare è chiedere o rispondere alle domande e le persone penseranno che non hai capito cosa farebbe rm -rf / . Bene, e se avessero iniziato a fare domanda per un posto come te sul sito di Careers 2.0? I datori di lavoro crederanno che in realtà stanno parlando con te perché il sito di Careers 2.0 è direttamente collegato al tuo indirizzo email. Forse avranno anche un lavoro e saranno impiegati come te in una compagnia. O forse un altro sito che hai collegato al tuo openid ti ha permesso di richiedere le carte di credito. Ora qualcuno ha carte di credito nel tuo nome.

L'idea è che non vorrai collegare il tuo ID aperto a nessun sito dove poni come potresti fare un danno reale.

    
risposta data 22.02.2013 - 01:38
fonte

Leggi altre domande sui tag

I sistemi Proof of Worker basati sulla latenza sono in grado di prevenire gli attacchi DDoS sui servizi nascosti più popolari (siti Web di Google)? I cookie che contengono informazioni non sensibili devono essere crittografati?