O ID aberto é seguro, por exemplo, você pode usá-lo para fazer login em contas bancárias?
Embora eu concorde com voretaq7 que o OpenID é tão seguro quanto o provedor OpenID, eu teria que dizer que ao selecionar um provedor OpenID para usar, é preciso ter cuidado para garantir que você esteja usando um provedor respeitável. Essa mesma ideia se aplica a tudo que tenha a ver com segurança. Google, AOL, e eu acho que até mesmo a Verisign agora oferece OpenIDs e essas empresas / provedores têm um bom histórico.
Uma das principais vantagens do OpenID sobre a segurança interna ou algum outro pacote de terceiros é que ele coloca o aspecto de autenticação da segurança nas mãos de empresas com mais experiência e mais recursos para lidar com isso do que a maioria das entidades menores. . Eles tendem a ter uma capacidade melhor de proteger seus servidores e dados. Como funcionário de uma pequena loja, eu certamente confiaria no Google mais do que em mim para configurar corretamente os servidores, firewalls, etc. necessários para proteger esses dados.
No entanto, OpenID é tão vulnerável ao aspecto mais perigoso de todos - os usuários que escolhem credenciais fracas.
OpenID é uma maneira de delegar autenticação a terceiros. Para um aplicativo de alta confiança como o banco, para quem você delega a autenticação é uma importante decisão importante de segurança. O protocolo openID, tal como está, é suficiente para qualquer padrão que permita a autenticação de fator único (o identificador de autenticação openID) ou a autenticação delegada para um sistema que tenha proteções de autenticação suficientes.
A próxima pergunta: Todos os provedores atuais de openID são seguros o suficiente para serviços bancários on-line?
Essa é uma pergunta diferente e provavelmente é negativa agora. No entanto, não há nada (técnico) parando, digamos, um consórcio de bancos americanos reunindo recursos para criar um único provedor openID bancário que segue um padrão declarado e é auditado. Esse provedor openID pode usar os métodos de autenticação necessários, seja o SiteKey, o SecureID, o uso do Smart Card ou o que for exigido. Eu considero essa possibilidade improvável para os grandes bancos comerciais, mas a comunidade da Credit Union pode apenas tentar.
OpenID é tão seguro quanto o mais fraco de (1) o site que você está tentando acessar; (2) seu provedor de OpenID; ou (3) o sistema DNS.
Recomendação:
Pontos fracos:
Uma conseqüência imediata deste fato é que o OpenID pode na melhor das hipóteses ser tão seguro quanto o site que você está tentando acessar; nunca pode ser mais seguro.
No redirecionamento do protocolo OpenID, o seu provedor está sob o controle do site em que você está efetuando login, o que leva a ataques banais de phishing e man-in-the-middle. Esses ataques permitirão que um site hostil roube suas credenciais OpenID sem que você saiba , que elas podem usar mais tarde para fazer login em qualquer outro site habilitado para OpenID como você.
Os ataques DNS são mais complicados, mas permitem que um invasor convença seu banco de que ele é seu provedor de OpenID. O invasor efetua login usando seu OpenID e faz com que seu provedor falso forneça autorização ao banco. Neste caso, o atacante não precisa phishing você ou aprender sua senha ou instalar qualquer coisa no seu computador - tudo o que ele precisa é o seu OpenID.
Da mesma forma, um ataque ao seu provedor OpenID permitirá que o invasor efetue login como você em qualquer site habilitado para OpenID, sem saber sua senha.
Mais informações sobre os pontos fracos e ataques do OpenID no link .
OpenID é um protocolo. O protocolo é muito seguro, mas o método backend-auth não precisa ser. Você pode rodar um portal OpenId que irá validar um usuário de uma caixa sobre telnet em Bangladesh.
É seguro o suficiente para bancário? Sim. Na verdade, desejo que todos os provedores de serviços bancários permitam isso. Além disso, se você quiser confiar nos provedores de serviços bancários mais do que outros provedores de tecnologia - não seria bom se eles fornecessem isso?