Sicurezza del gestore password basato su cloud (Dashlane, LastPass) e accesso federato (OpenID, Google, Yahoo, Microsoft, Facebook)

1

Molti siti web offrono la possibilità di accedere con il tuo account Google o Facebook esistente (tra gli altri). Per molto tempo ho resistito perché facevo uso di un gestore di password e ho pensato che fosse più sicuro creare un account separato per ogni sito con una password strong e pseudocasuale. L'integrazione del browser per alcuni gestori di password basati su cloud è eccezionale e ho iniziato a chiedermi perché nessuno abbia creato una versione lato server. Poi mi sono reso conto che l'accesso federato è fondamentalmente l'equivalente lato server di un gestore di password (supponendo che non si riutilizzino le password per il gestore di password).

Puramente dal punto di vista della sicurezza, c'è una buona ragione per cui preferirei creare credenziali di accesso univoche e archiviarle in un gestore di password o in un accesso federato o viceversa? (supponiamo di voler utilizzare un gestore di password basato su cloud)

    
posta rob 27.11.2013 - 23:24
fonte

2 risposte

1

Almeno un modo per considerare ciò è considerare la forza e la qualità dell'autenticazione offerta sul sito di destinazione rispetto all'Identity Provider (IDP) con cui si intende federare.

Ad esempio, considera se hai una scelta tra l'apertura di un nuovo account con una vecchia password semplice (che memorizzerai nell'app Password Manager) e il reindirizzamento a un IDP che esegue anche l'RBA (Risk Based Authentication) in aggiunta alla tua password per l'IDP. Il sistema con RBA potenzialmente considererà una varietà di fattori per segnare la sessione di autenticazione, come l'indirizzo IP del client, le caratteristiche del browser, il modello "normale" del comportamento per quell'utente, ecc. Se il punteggio di rischio risulta essere alto, è possibile che venga richiesto di rispondere ad alcune domande o un altro metodo di incremento già configurato su quell'IDP.

In questo caso, quale opzione preferisci? Solo la vecchia password, o un IDP con Password + RBA? Servizi come Facebook stanno gradualmente implementando funzionalità basate sul rischio in aggiunta al servizio di autenticazione (che è il motivo per cui potresti ricevere una foto di un amico per nominarlo, ecc.). Puoi leggere ulteriori informazioni su RBA in questo rapporto:

link

qui è disponibile una definizione più generica:

link

Saluti.

    
risposta data 28.11.2013 - 01:16
fonte
0

Questa domanda illustra la differenza tra gestori di password offline e online.

Quindi, come si confronta un gestore di password online con un provider di identità federato?

I due hanno un profilo di rischio simile in entrambi i casi ti stai completamente fidando del tuo provider. Questa non è una brutta cosa: puoi scegliere il tuo fornitore, quindi scegli quello di cui ti fidi, anche se questo significa eseguire il tuo server. Entrambi gli approcci hanno un rischio equo di difetti di implementazione e i tipi di difetti sarebbero molto diversi, ma non c'è nulla che renda un approccio intrinsecamente migliore dell'altro.

La differenza è l'esperienza dell'utente. L'accesso federato in genere ha un flusso leggermente migliore, ma è necessario dipendere da ciascun sito Web per supportarlo. I gestori di password online necessitano di un plug-in del browser, che può essere problematico se si utilizzano spesso macchine diverse.

    
risposta data 28.11.2013 - 12:49
fonte

Leggi altre domande sui tag