是开放的ID安全,例如你可以使用它来login到银行账户?
OpenID与OpenID提供者一样安全(即“如果有人闯入你的Myspace账户,他们可以访问你的OpenID及使用它的所有东西)”。
就我个人而言,我不会相信任何有价值的东西。 大部分的OpenID提供商都有一个非常糟糕的安全logging。
尽pipe我同意voretaq7的说法,即OpenID只与OpenID提供者一样安全,但我不得不说,select使用OpenID提供者时,必须注意确保您使用的是有信誉的提供者。 同样的想法适用于与安全有关的所有事情。 Google,AOL,我认为即使Verisign也提供OpenID,而这些公司/供应商也有良好的logging。
与本国安全或其他第三方软件包相比,OpenID的主要优势之一是将安全性的authentication方面交给了拥有更多经验和更多资源来处理的公司。 他们往往有更好的能力来保护他们的服务器和数据。 作为一家小商店的员工,我当然会相信Google比正确configuration保护这些数据所需要的服务器,防火墙等更为重要。
但是,OpenID和所有最危险的方面一样脆弱 – 那些select弱证书的用户。
OpenID是将身份validation委派给第三方的一种方法。 对于像银行业务这样的高度信任的应用程序,您委派身份validation的人员是一个主要的重大安全决策。 对于任何允许使用单因素身份validation(openID身份validation令牌)或具有足够身份validation保护的系统的委托身份validation的标准,openID协议就足够了。
下一个问题: 目前的openID提供商是否足够安全地进行在线银行业务?
这是一个不同的问题,现在可能是负面的。 然而,没有任何技术上的阻止,比如美国的一家银行集合资源来创build一个单一的银行openid提供商,该提供商遵循一个规定的标准并进行审计。 那个openID提供者可以使用它需要的任何authentication方法,可以是SiteKey,SecureID,智能卡刷卡或其他需求。 我认为这种可能性不大,主要的商业银行,但信用社社区可能只是尝试。
(1)您尝试login的网站最弱的地方是OpenID。 (2)你的OpenID提供者; 或(3)DNS系统。
build议:
弱点:
这个事实的直接后果是,OpenID 最好和你试图login的网站一样安全。 它永远不会更安全。
在OpenID协议中,redirect到您的提供者是在您login的站点的控制之下,这导致了微不足道的networking钓鱼和中间人攻击。 这种攻击将允许恶意网站窃取您的OpenID凭据而不知道 ,然后他们可以随后使用它们login到任何其他支持OpenID的网站。
DNS攻击比较复杂,但是攻击者可以说服你的银行他是你的OpenID提供者。 攻击者使用您的OpenIDlogin,并让他的假冒提供商授权给银行。 在这种情况下,攻击者不需要钓鱼你或者学习你的密码或者在你的计算机上安装任何东西 – 他所需要的只是你的OpenID。
同样,对您的OpenID提供商的攻击将允许攻击者在任何支持OpenID的网站上login,而不知道您的密码。
更多关于OpenID的弱点和攻击http://www.untrusted.ca/cache/openid.html 。
OpenID是一个协议。 该协议是非常安全的,但后端身份validation方法不一定是。 您可以运行一个OpenId门户网站,通过孟加拉国的远程login从dos框validation用户。
银行业务足够安全吗? 是。 事实上,我希望所有的银行提供商都会允许的。 此外,如果你想比其他技术提供商更信任银行提供商 – 如果他们提供这样的服务,不是很好吗?