security - seguridad - tipos de autenticacion

En realidad, siempre me desagradó OpenID por varias razones.

• Tengo que confiar en el proveedor de OpenID a quien di mis datos. Confío en ciertos lados en ciertos grados, pero solo porque confío en , no confío automáticamente en ninguno de los conocidos proveedores de OpenID.

  2. Si mi contraseña de OpenID está en peligro, todos mis sitios donde estoy usando OpenID están en peligro. Usualmente elegiría una contraseña diferente para cada sitio que estoy usando, pero no puedo con OpenID.

  3. No me gusta el concepto de Persona en absoluto. Aunque me preguntan antes de enviar cualquier información, simplemente no parece correcto que un proveedor tenga esta información y otros servicios pueden solicitarla. Está bien, no tengo que usarlo si no me gusta, pero el concepto me parece erróneo.

  4. Como ya se mencionó, los datos se envían entre un sitio y el proveedor de OpenID y viceversa. Cada vez que se intercambian datos, pueden verse comprometidos. Ningún sistema es 100% seguro; ni siquiera SSL (HTTPS). Es una diferencia si los datos solo viajan de mí a un lado y de regreso a mí o si también viaja de ese lado a otro y viceversa.

  5. Si un proveedor de OpenID es pirateado y el pirata informático obtiene los datos de inicio de sesión de todos los usuarios (¡después de todo son encantadores centralizados en un solo lugar!), ¡Solo piense en el impacto!

Sólo para nombrar unos pocos. Tampoco veo la gran ventaja de OpenID. Para el usuario dicen

1. Registro e inicio de sesión más rápidos y fáciles
   • Reducción de la frustración del nombre de usuario / contraseña olvidado
   • Mantener actualizados los datos personales en los sitios preferidos
   • Minimiza los riesgos de seguridad de contraseñas

De acuerdo, analicemos eso.

(1) ¿Con qué frecuencia se registra para una página por día? 200 veces? Si me registro para 2 páginas a la semana, eso ya es mucho. Por lo general, más de 2-3 meses como máximo (en realidad , o mi proveedor de OpenID para usar , fue la última página que registré y no fue exactamente ayer). Entonces, cuando te registras en 2 sitios al mes, ¿no tienes los 5 minutos necesarios para completar un formulario? Vamos, no seas ridículo.

(2) ¿Cómo? Porque usa la misma contraseña en todas partes? "Esto no es futuro, es un error", dirían la mayoría de los expertos en seguridad. ¿O porque me permite recuperar mi contraseña por correo? Bueno, en realidad casi cualquier lado que uso me permite hacerlo. A pesar de eso, mi Firefox recuerda bastante bien mis contraseñas, las almacena encriptadas en el disco (usando una contraseña maestra) y esta base de datos encriptada se reproduce periódicamente para no perderse nunca.

(3) Bueno, esto es probablemente algo positivo ... sin embargo, mi nombre nunca ha cambiado hasta ahora, mi dirección de correo electrónico tampoco lo hará ya que es uno de los dominios que uso y reenviado a una dirección real (por lo tanto, el verdadero uno puede cambiar, simplemente actualizo el forward y todo funciona como antes). ¿Mi dirección? Bueno, algunas personas se mueven mucho. Solo me mudé una vez en toda mi vida hasta ahora. Sin embargo, la mayoría de los lados no necesitan saber mi dirección. Los sitios donde no veo ninguna razón para que la gente conozca esta información, pero que me piden que la complete para registrarme, solo tienen una copia falsa. Hay muy pocos sitios en Internet que conozcan mi dirección real (en realidad, solo aquellos que pueden tener que enviarme un correo postal o dónde puedo pedir productos).

(4) En realidad, lo veo al revés. Maximiza el riesgo de seguridad. ¿Cómo minimizaría el riesgo?

OpenID agrega otra parte al proceso de autenticación que debe tratar como un componente de confianza. En este sentido, es bastante similar a cualquier aplicación que permita la recuperación de la cuenta por correo electrónico, pero mientras que sus mensajes de correo electrónico se transmiten en texto sin formato, puede optar por comunicarse con proveedores de OpenID solo a través de conexiones HTTPS verificadas.

Revise la sección Consideraciones de seguridad de la especificación.

Para una excelente descripción de los puntos débiles en OpenID y una demostración de cómo un buen proveedor de OpenID puede ofrecer una experiencia que es mucho más segura que la tradicional contraseña de phishing fácil, vea este breve video de Kim Cameron de su Identity Weblog .

OpenID puede hacerse más seguro si elige ignorar todos los proveedores de OpenID que no son compatibles con HTTPS

Me gusta el acceso VIP de Verisign que los sitios pueden usar, y hay una pequeña y agradable aplicación de iPhone que te permitirá tener tu token generado para entrar, al igual que secureID

OpenID es intrínsecamente inseguro. Su sitio redirige al usuario a su sitio de proveedor de ID abierto y luego acepta una ID de ese sitio. Esto proporciona inseguridades en ambas direcciones. Debe confiar en la identificación que se envía (ya que no tiene forma de autenticar al usuario) y es fácil operar un proxy para el proveedor de ID abierto del usuario, que le permite robar su nombre de usuario y contraseña.

OpenID está bien para algo como , donde realmente no importa si alguien se hace pasar por usted. Al usar OpenID para sitios con contenido más serio, a nivel personal, el contenido es extremadamente riesgoso. Si usa OpenID para su correo electrónico, por ejemplo, cualquier persona que robe su Id puede acceder a su correo electrónico. A su vez, podrían enviar solicitudes de recordatorio de contraseña a otros sitios que use para obtener contraseñas para esos sitios. En el peor de los casos, podría usar OpenID para una cuenta bancaria o tener un banco que envíe recordatorios de contraseña a su cuenta de correo electrónico ...

Hay muchos otros problemas de seguridad con OpenID. Puede encontrar más información en "Privacidad en Internet" .

Creo que la principal debilidad de la mayoría de los proveedores de OpenId es que ofrecen recuperación de contraseña por correo electrónico. Eso reduce la seguridad de OpenId a la seguridad de mi proveedor de correo electrónico. Si alguien obtiene acceso a mi cuenta de correo electrónico, puede robar mi identidad de manera efectiva (con o sin OpenId).

Usar OpenId para autenticación hace que robar identidad ym sea más fácil. Simplemente acceda a mi cuenta de correo electrónico y restablezca mi contraseña de OpenId. No hay nada más que hacer (en lugar de 100 solicitudes de restablecimiento de contraseña, una para cada una de mis cuentas en la web).

Peor aún, si el atacante cambia la contraseña de mi cuenta de correo electrónico, será muy difícil para mí probar que soy el propietario original de esa cuenta de OpenId. El atacante podría cambiar la cuenta de correo electrónico asociada a la suya, por lo que no puedo restablecer la contraseña, incluso si recupero mi cuenta de correo electrónico más tarde.

Puede ser suficiente para acceder al correo electrónico de recuperación de contraseña que mi proveedor OpenId envía para robar mi identidad.

Los proveedores de OpenId ofrecen la desactivación de la recuperación de contraseñas de correo electrónico y proporcionan una forma más segura de recuperar una contraseña perdida. Algo basado en dirección postal, pasaporte o cuenta bancaria (cosas en las que confío más que una cuenta de correo electrónico).

Siempre que una cuenta de OpenId pueda ser asumida simplemente con acceder a un solo correo electrónico, no es más que un único punto de falla adicional.

Ver también: http://danielmiessler.com/blog/from-password-reset-mechanisms-to-openid-a-brief-discussion-of-online-password-security donde "The Weakest Link: Email Password Reset Mechanisms" es dirigido, también.

Ay. MyOpenID informa direcciones de correo electrónico no confirmadas, simplemente hizo una prueba para eso. Parece que la información del correo electrónico debe ser confiable solo para algunos proveedores manuales de la lista blanca como google / yahoo y otros. Voy a vincular el código aquí si alguien está interesado.

Si bien este hilo es viejo, quería agregar mis 2 centavos. Creo que OpenId tiene un defecto que a nadie parece importarle. Cuando me autentico con Yahoo, en realidad me registra en Yahoo. No debería registrarte en Yahoo, solo debería autenticarte que tienes las credenciales adecuadas con yahoo. Cuando sales de mi aplicación, sigues conectado a Yahoo. Si te alejas de una computadora compartida y otra persona va a Yahoo, estarás conectado ... porque cuando te autenticaste con Yahoo, también lo iniciaron en su servicio. Deberían autenticarte, no registrarte. Le he contado a varias personas sobre esto e incluso lo he demostrado con .com (que tiene un terrible mecanismo de cierre de sesión, cuando cierro el cierre de sesión espero estar desconectado, no haga clic en otro botón de cierre de sesión). Pruebe este cierre de sesión de yahoo o gmail. Cierre todas sus pestañas y luego inicie sesión en con yahoo / gmail. Luego cierre la sesión fuera del desbordamiento de la pila ... (asegúrese de presionar "logout" dos veces) ... ahora navegue hacia Yahoo o Gmail, ha iniciado sesión. Ahora la respuesta sarcástica que recibo es "No use una computadora compartida, debe desconectarse" de Yahoo / gmail, etc. "... Todo el mundo no es un desarrollador con un título en MIS o ciencias de la computación, mi suegra pensaría cuando se desconectó de , que todavía no habría iniciado sesión en Yahoo. Tal vez Me falta algo de parm o algo que realmente forzará lo que quiero, pero seguramente no está en la documentación que te dice lo genial que es OpenId !!!

Estoy de acuerdo con muchos de los puntos que David hace arriba, así que estoy haciendo algunos puntos aquí solo por el bien de la discusión.

Para el usuario informado, yo diría que OpenID es una forma de autenticación más segura de la que ofrecen muchos sitios web. Ahora déjame respaldar esa declaración. Primero, ¿qué quiero decir con un usuario informado ? Definiría a esa persona como alguien que conoce las debilidades de OpenID y que toma medidas para mitigarlas:

• Mantiene varias personas si no desean que los sitios web puedan rastrearlos de manera efectiva.
• Registra dos o más proveedores de OpenID en sitios web donde el acceso 24/7 es un problema.
• Siempre inicia sesión en su proveedor OpenID directamente. Nunca inician sesión en una página a la que un sitio web de terceros los haya redirigido.

Muchos sitios web no saben cómo mantener de forma segura las contraseñas de los usuarios . Lo realmente bueno de OpenID es que puedo elegir mi proveedor de OpenID y, por lo tanto, el nivel de autenticación necesario para iniciar sesión en una parte confiable. Por ejemplo, puedo elegir delegar la autenticación a Verisign o Trustbearer , que proporcionan técnicas de autenticación mucho más sólidas que la mayoría de los sitios web en la web. Prefiero confiar en una organización que se especializa en seguridad con mi contraseña que en algún sitio web aleatorio en la web. Entonces, yo diría que, para el usuario conocedor, OpenID puede ser más seguro que cada sitio web que implementa su propio sistema de autenticación.

Dicho todo esto, la mayoría de los usuarios no conocen los factores de riesgo inherentes a OpenID y no tomarán las medidas para mitigar los riesgos.