這是可以用於高度安全信息的東西,還是應該繞過單個站點身份驗證系統?這可能是一個愚蠢的問題(因爲它聽起來不安全),但我想要一些建議。openID有多安全?
回答
OpenID本身並不比傳統的用戶名+密碼登錄安全。
很明顯,您將很大一部分安全性委託給提供者 - 例如,暴力預防,密碼大小政策等。
不會用於網上銀行,例如,OpenID協議本身不是安全的,而是由於使用情況。
高度安全的信息
財務信息?國防部最高機密?真正安全的信息不能通過互聯網獲得,只能通過本地網絡或通過VPN將VPN安全移到網絡級別。真的非常安全的信息是在沒有網絡連接的計算機上...
有一種理論認爲,用戶只需要一個用於他們的OpenID帳戶的密碼,就可以選擇體面的強度密碼,當他們必須記住x密碼時。
OpenID本身是安全的,但由於其分散性,它通常假設三臺服務器是「可信」的。如果這些服務器不可靠,那麼你的安全性就不存在了。
舉例來說,如果你用你自己的網站作爲一個標識符,但身份驗證委託給第三方提供商,那麼如果你的網站,或身份提供者,或消費者服務器被穿透,然後將信息不安全。
如果您想在內部使用OpenID,並且只使用您自己的安全服務器作爲OpenID提供程序,那麼您應該非常安全。但是如果你想讓人們「攜帶自己的OpenID賬戶」,那麼OpenID並不是正確的選擇。
+1大多數人使用由Google,Yahoo等提供的OpenID標識,因此至少Google理論上可以闖入您網站的某些用戶帳戶。 (內部使用OpenID是一個有趣的想法,但實際上你可能會選擇更集中的安全模型,例如Kerberos或Standford WebAuth)。 – 2010-07-07 09:50:06
一般來說,它不比普通的用戶/密碼認證更安全,但有一個主要區別(IMO)。 OpenID允許用戶通過多種不同的方法登錄(Google,AOL,Yahoo等)。如果有人破解它,他們將不得不追逐每一項服務。您可以選擇不允許某些服務參與,如果您發現其中一個服務不太安全。
OpenID在技術上很合理,但可能會讓某些用戶感到莫名其妙。我建議瀏覽回答this問題。
由於登錄被如此廣泛使用,因此經常有輸入密碼被意外披露了更多的機會:對於非常私人的信息,因爲我會謹慎使用OpenID。尤其令人擔心的是,如果用戶在某一天註冊的另一個支持OpenID的網站要求他們輸入實際的密碼,某些用戶可能會毫不猶豫地輸入它,因爲他們沒有意識到他們正在規避OpenId安全模式。
如果你懷疑OpenID的安全性,用戶可能也會有這些疑惑。從商業角度來看,是否值得冒着認爲不安全? (當然,這至少比周圍的其他方式更好 - 安全性差被視爲安全的!)
現在,正在向社交網站和提供這樣的OpenID登錄趨勢,但我懷疑我們將會看到它被非常用於保護極其敏感的數據。
- 1. OpenId是如何安全的?
- 2. socket.io有多安全?
- 3. SSH有多安全?
- 4. PHP有多安全?
- 5. Interlocked.Exchange有多安全?
- 6. Elmah有多安全?
- 7. SimplePie有多安全?
- 8. SectionInformation.ProtectSection有多安全?
- 9. document.URL有多安全?
- 10. iframe有多安全
- 11. OpenID的安全性 - 虛假的OpenID重定向
- 12. PAPE如何使OpenID更安全?
- 13. 檢查安全的OpenID重定向?
- 14. Google App Engine上的Spring安全openid
- 15. OpenID最安全的實現方式
- 16. 春季安全,OpenID的,並mod_proxy的
- 17. Grails的春季安全的OpenID
- 18. 安全的OpenID用戶身份驗證
- 19. 的AccessControlException使用Spring安全使用OpenID
- 20. 我的安全再次安全有多安全?
- 21. XPS文檔有多安全?
- 22. URL重寫有多安全?
- 23. Facebook連接有多安全?
- 24. 使用RestFB有多安全?
- 25. $ _SERVER [「HTTP_HOST」]有多安全?
- 26. htacces/htpasswd有多安全?
- 27. str有多安全(BlobKey)?
- 28. htaccess認證有多安全
- 29. 加密有多安全?
- 30. 使用Drush有多安全?
聽起來「不安全」嗎? – 2010-07-07 02:37:19
事實上,它聽起來像是很容易impliment,你依靠其他網站進行適當的身份驗證。 – John 2010-07-07 02:41:53