security - ¿Qué razones hay para NO usar OpenID?
web-applications (17)
Usted ve un poco (de todos modos en la comunidad Geek) sobre OpenID. Parece una buena idea Estoy desarrollando un sitio web que estará dirigido a un público un tanto menos geek (pero no tanto a Mom y Pops tampoco), así que me pregunto si OpenID va a ser "demasiado difícil" para algunas audiencias.
¿Qué piensas? Aparte de eso, ¿hay alguna otra razón técnica o no técnica para NO utilizar OpenID?
OpenID es bueno si todos los sitios lo usan. Pero registrarse en OpenID solo para usar UN sitio, es demasiado. Registrarse en OpenID no es tan sencillo como registrarse directamente en un sitio (desde el punto de vista del consumidor).
Todos pueden conectar las cosas que hago en un sitio con las cosas que hago en otros sitios cuando utilizo un OpenID, porque es el mismo en todos lados. Así que no usaría la misma ID que uso aquí para un sitio pornográfico, por ejemplo.
hay muchas razones por las cuales una cuenta hace acceso a todos. si esto está comprometido te metes en problemas.
si está configurando una página que usa openid, entonces debe saber que todos pueden configurar un servidor de apertura (también los spammers pueden hacerlo).
-
¡pero openid tiene buenas ideas y me gusta usarlo!
Los usuarios promedio aún no entienden qué es OpenId, para qué sirve o cómo usarlo. Mis padres no podrían iniciar sesión en , por ejemplo.
Dicho esto, esto se trata principalmente de la interfaz de usuario. No hay nada intrínsecamente que les impida usar OpenId; solo necesitan una interfaz de usuario que abstraiga OpenId de ellos, y simplemente les permite iniciar sesión con su cuenta de Google (por ejemplo).
OpenID es espectacularmente susceptible a los intentos de phishing. Si ejecuta un sitio OpenID, intente cambiar la página de inicio de sesión un día para solicitar el identificador y la contraseña, en lugar del enfoque normal de solo solicitar el identificador y redireccionar al proveedor de OpenID para solicitar la contraseña del usuario. Apuesto a que puede obtener más de la cuarta parte de las contraseñas de sus usuarios de esta manera.
Es bueno como una adición al registro normal, pero no es muy fácil de usar si es la única manera de iniciar sesión en su sitio. Mire el registro en : todos los sitios se mencionan especialmente para ayudar a las personas a comprender de qué se trata todo esto. Y este sitio es para geeks :) Entonces, el menos es la complejidad.
Ver también este enlace
OpenID sigue siendo tan inseguro como cualquier otro método de autenticación basado en contraseñas. De hecho, es aún peor porque si alguien tiene acceso a su OpenID, ahora tienen más que solo una cuenta. Por supuesto, también hay ataques de phishing, pero todos somos programadores expertos, administradores de bases de datos y sistemas, por lo que no nos enamoraremos de esas cosas, ¿verdad?
La seguridad de la autenticación se basa en la confianza. Como otros señalaron, ¿por qué confiarías en un tercero con información potencialmente confidencial? Claro, usted puede configurar un servidor OpenID usted mismo, pero ¿cuánto le cuesta mantener contraseñas separadas en múltiples sistemas? Claro, puede crear contraseñas seguras largas y llenas de caracteres no alfanuméricos, e incluso almacenarlas todas en un administrador de contraseñas (sí, quiero), pero algunos sitios tienen fallas en que se puede completar un formulario de recuperación de contraseña simple para ganar acceso para restablecer la contraseña
Probablemente estaría inclinado a apoyar e incluso evangelizar a OpenID si lo hiciera con autenticación privada basada en claves, a la SSH o PGP. Tal vez se trate de un proveedor que ofrezca dicho método, no lo he investigado [todavía].
Finalmente, aunque todos confiamos en OpenID lo suficiente como para usarlo para autenticar en , mi OpenID es "desechable", y no es como si estuviera usando esto como una herramienta de construcción de reputación profesional (es decir, mi verdadero nombre no está involucrado ;-)). Estoy seguro de que no soy el único (¡tan genial e increíble como es este sitio!).
Estoy sorprendido de que alguien que ha usado no pueda pensar en una razón para NO usar OpenId, ¡porque es tan molesto como el infierno!
Ted Dziuba hizo un trabajo mucho mejor de abrir OpenId que yo, así que solo lea lo que escribió.
Otra buena razón: Facebook Connect ya parece estar funcionando muy bien. A medida que la membresía de Facebook continúa creciendo, hará que Facebook Connect sea mucho más valioso.
En algún momento, supongo que Facebook podría hacer que Connect sea un proveedor OpenId ... pero realmente, ¿por qué querrían?
Esto viene mucho.
Una buena regla:
Si necesita recopilar y mantener información privada de identificación personal, no use OpenID.
Si no necesita recopilar y mantener información privada de identificación personal, siga adelante y ofrezca OpenID como método para iniciar sesión.
Para el comercio electrónico, o en cualquier otro lugar que necesite para cumplir con la certificación PCI / DSS, no utilizaría OpenID.
No me importa que SO sea exclusivamente OpenID, sin embargo, no crearía un sitio que lo use exclusivamente.
Si tiene un sitio que requiere un alto nivel de seguridad, no desea dejar el manejo de sus credenciales de inicio de sesión a un proveedor externo, donde no tiene control sobre el acceso. Si el proveedor de OpenID es pirateado, le está dejando su seguridad a ellos.
Por lo que puedo decir, parece que un proveedor de OpenID no está obligado a dar la dirección de correo electrónico de un titular de la cuenta, aunque algunos sí lo hacen.
Si su servicio requiere una dirección de correo electrónico para comunicarse con sus usuarios (por ejemplo, para enviar un boletín de noticias, que muchas personas que nunca han oído hablar de RSS prefieren), entonces es posible que tenga que capturar un OpenID Y verificar una dirección de correo electrónico.
Un sistema en el que solo se requiere una dirección de correo electrónico y una contraseña y que emplea un mensaje de correo electrónico de activación sería menos trabajo para los usuarios.
La interfaz es terrible.
a. Registrarse en OpenID requiere más tiempo y experiencia. El registro normal requiere muy poco tiempo o experiencia. El registro ocurre una vez, pero es una gran inversión inicial, por lo que el sitio tiene que ser muy atractivo.
segundo. Registrarse implica: tres datos en lugar de dos; dos páginas web en lugar de una (tres en , en realidad); y un sitio web externo. CADA VEZ.
do. Hay mejores interfaces para este tipo de solución. Uso KeePass, por ejemplo.
Colisiones de nombres. No hay forma de garantizar nombres únicos.
La seguridad es terrible.
a. Fomenta el comportamiento tipo phish. No es tan malo como "Verified by Visa", pero está cerca.
segundo. Único punto de falla: si pierde algo, pierde todo. KeePass al menos me permite proteger físicamente la contraseña (debe tener el disco duro con la base de datos cifrada).
do. Seguimiento entre sitios. Las compañías de tarjetas de crédito en realidad tienen reglas vigentes que rigen la cantidad de seguimiento que se les permite hacer. Las cookies pueden desactivarse o prevenirse de forma selectiva en los navegadores modernos. OpenID no tiene reglas ni gobernadores.
No es realmente universal. Google proporciona OpenID ... pero no los usa . Lo mismo para Yahoo. Y para AOL. No hay ningún incentivo para que un proveedor de OpenID permita el uso de OpenID de otros proveedores.
OpenID es útil para la autenticación, pero no para la autorización, particularmente para cualquier cosa sensible (tarjetas de crédito, por ejemplo).
Personalmente, utilizo un inicio de sesión / contraseña por sitio, y uso KeePass (que puedo proteger físicamente y con dos capas de contraseñas que deben ser descifradas) para mantener la abstracción de inicio de sesión único en todas partes.
Eso incluye : Creé un OpenID especialmente para ustedes, y nunca lo usaré en ningún otro lado. Hice esto y aguanté el dolor de inicio de sesión porque el contenido es convincente.
Pero si alguna vez se proporcionara un método de autenticación real para , saltaría sobre él en un abrir y cerrar de ojos, solo por las ganancias de facilidad de uso.
Es divertido para mí leer este tema, refleja exactamente mi experiencia con OpenID:
.com fue para mí el motivo para obtener un OpenID.
Muchas búsquedas de Google me llevaron a este sitio web, y nunca pude dejar comentarios.
Pensé en registrarme muchas veces, pero no lo hice debido a OpenID. No estaba claro para mí qué era exactamente.
Pero un día, tomé la decisión de registrarme y me tomó un tiempo, pero no me arrepiento porque lo uso todos los días. Me da una sensación más segura, aunque soy consciente de que es solo una cuenta la que generaría muchos problemas si es atacada.
Entonces, para mí, OpenID es una muy buena forma de iniciar sesión rápidamente en sitios que no conozco, pero también en sitios web más grandes como .com
El principal problema es que los nuevos usuarios deben ser empujados al proceso de registro y luego descubrir cuán grande es realmente OpenID.
La cantidad de proveedores de cuentas OpenID que tiene (google, yahoo, twitter, etc.) es igual a la cantidad de cuentas que puede usar automáticamente para iniciar sesión en un sitio web con tecnología OpenID. Esto ciertamente no es una ventaja, pero puede ser una gran desventaja.
Sí, seguridad. Usar OpenId lo pone a merced de ellos administrando sus cuentas. No tiene control sobre la seguridad de la contraseña y los ID de usuario. Confía en alguna otra organización para verificar que las personas que ingresan a su sitio son quienes dicen ser. Si necesita verificar realmente que alguien es quien dice ser, No obtendrás eso con una identificación abierta sin hacer algún tipo de verificación secundaria por ti mismo. en ese caso, también podría no usar OpenId.
http://www.computerworld.com/s/article/9179224/Researchers_Password_crack_could_affect_millions
Hoy me encontré con un artículo que hace un caso muy sólido para omitir OpenID, de alguien que originalmente estaba entusiasmado con él.
La identificación abierta es una pesadilla
Siempre he sido un gran defensor de Open ID. Me encanta la idea y la intención: es una gran solución para un problema de larga data y resuelve muchos problemas para los desarrolladores. Desafortunadamente crea mucho más para los dueños de negocios.
Lea el resto aquí: http://www.wekeroad.com/2010/11/17/open-id-is-a-party-that-happened/
No es mi historia, así que no me atribuyo ningún mérito.
Puede ser un poco inexacto decir que la persona promedio no comprende OpenID.
En la mayoría de los casos, con un poco de marketing persuasivo (es decir, "¡USE UN INICIAR SESIÓN EN TODOS LOS SITIOS! 11!") Pueden comprender que les permite iniciar sesión en sitios usando un inicio de sesión en lugar de tener varios nombres de usuario y contraseñas diferentes en diferentes sitios.
El problema, sin embargo, es que para un usuario promedio, toda la experiencia OpenID va en contra de lo que cree que es la seguridad en línea.
Los usuarios no confiarán automáticamente en él
Con los inicios de sesión normales de usuario / contraseña, los usuarios entienden que una contraseña debe mantenerse en secreto, y eso es lo que protege su privacidad cuando inician sesión en un sitio. ¿Cómo van a entender el intercambio que ocurre entre un sitio cliente OpenID y su proveedor OpenID? Todo lo que saben es que no tenían que ingresar una contraseña (suponiendo que estén "siempre conectados" en su proveedor de OpenID), por lo que no es seguro, ¿verdad? Quiero decir, a los ojos de un usuario, ¿cómo puede estar seguro si no dieron una contraseña? Esto puede llevar a la desconfianza del usuario.
Hace que el phishing sea fácil
(Muchos usuarios saben que es incorrecto volver a usar la misma contraseña para diferentes cuentas, pero esto parece ser exactamente lo que OpenID está haciendo). ¿Qué sucede si un usuario simplemente supone que todo su proveedor de OpenID está compartiendo su contraseña con todos los sitios participantes? Quiero decir, ¿de qué otro modo podría OpenID ''iniciar sesión para ellos'' en todos estos sitios? Si el usuario asume que a través de OpenID, su contraseña es conocida por todos los sitios OpenID participantes, puede suponer que es bastante razonable dar esta contraseña a cualquiera de esos sitios. Es una pesadilla de phishing. Imagine colocar esta frase en su sitio: "Por favor ingrese su (nombre de usuario de OpenID) nombre de usuario [] y contraseña []". Ya eres gente de phishing.
No debemos olvidar, también, que un usuario tendría razón en sus sospechas en un aspecto, aunque por una razón ligeramente diferente: si alguien obtiene acceso a su proveedor de OpenID, obtienen acceso a su identidad en todos los sitios donde lo han usado. identidad, que es la misma desventaja de usar la misma contraseña en varios sitios.
Se desvía demasiado de lo que los usuarios entienden
Tener múltiples nombres de usuario / contraseñas en diferentes sitios no es difícil de entender para los usuarios. Los usuarios entienden bien el concepto de nombres de usuario y contraseñas, porque están acostumbrados a ellos, y el punto de seguridad (el hecho de que la contraseña es un secreto) es realmente obvio para ellos. Está muy claro cómo funciona una contraseña. Tener múltiples combinaciones de nombre de usuario y contraseña no hace que esto sea más confuso o complicado, es lo mismo, pero más de uno. Aunque recordar las contraseñas múltiples puede ser difícil, los usuarios al menos saben cómo hacerlo y cómo funciona.
OpenID intenta resolver el problema de recordar varias contraseñas, pero en el proceso crea un paradigma completamente nuevo, que es completamente opaco para los usuarios. A diferencia de una contraseña, cuya seguridad es obvia (solo tiene que ser secreta), toda la seguridad de OpenID se produce tras bastidores, con sitios que se comunican entre sí, claves y hashes, etc. El usuario ya no comprende por completo cómo sus se protege la privacidad o se debe mantener en secreto a quién, porque no entienden cómo funciona el sistema. Por lo tanto, en un intento de resolver un problema de recordar varias contraseñas, OpenID ha creado un sistema místico de intercambios de claves que viola la comprensión total del usuario sobre cómo funciona la autenticación y por qué es segura.