security - 自分のサイトで認証方法として OpenID を使用することに関連するセキュリティ リスクはありますか?

Question

OpenIDはWeb サイトでユーザーを認証するための安全な方法ですか?

そうでない場合、OpenID に関連するセキュリティ リスクは何ですか?

Answer 1

私は David が上で述べた点の多くに同意します。

知識のあるユーザーにとっては、OpenID は多くの Web サイトが提供するものよりも安全な認証形式であると私は主張します。では、その発言を裏付けさせてください。まず、知識のあるユーザーとはどういう意味ですか? 私はその人を、OpenID の弱点を認識しており、それを軽減するための対策を講じている人だと定義します。

• Web サイトで効果的に追跡できるようにしたくない場合は、複数のペルソナを維持します。
• 24 時間年中無休のアクセスが問題となる Web サイトで、2 つ以上の OpenID プロバイダーを登録します。
• 常に OpenID プロバイダーに直接ログインします。サード パーティの Web サイトからリダイレクトされたページにログインすることはありません。

多くの Web サイトは、ユーザーのパスワードを安全に管理する方法を知りません。OpenID の本当に優れた点は、自分の OpenID プロバイダーを選択できることです。これにより、証明書利用者へのログインに必要な認証レベルを選択できます。たとえば、VerisignまたはTrustbearerに認証を委任することを選択できます。どちらも、Web 上のほとんどの Web サイトよりもはるかに強力な認証技術を提供します。Web 上のランダムな Web サイトよりも、パスワードのセキュリティを専門とする組織を信頼したいと思います。したがって、知識のあるユーザーにとって、OpenIDは、独自の認証システムを実装する各 Web サイトよりも安全である可能性があると私は主張します。

そうは言っても、ほとんどのユーザーは OpenID に固有のリスク要因を認識しておらず、リスクを軽減するための措置を講じません。

Answer 2

実際、私はさまざまな理由で OpenID が嫌いでした。

• データを提供した OpenID プロバイダーを信頼する必要があります。私は特定の側面をある程度信頼していますが、Stack Overflow を信頼しているからといって、よく知られている OpenID プロバイダーを自動的に信頼するわけではありません。

  2. OpenID パスワードが侵害された場合、OpenID を使用しているすべてのサイトが侵害されます。通常、使用しているサイトごとに異なるパスワードを選択しますが、OpenID ではそれができません。

  3. 私はペルソナのコンセプトがまったく好きではありません。データが送信される前に尋ねられますが、あるプロバイダーがこの情報を持っていて、他のサービスがそれを要求できるというのは正しくないようです。気に入らなければ使う必要はありませんが、コンセプトに欠陥があるように思えます。

  4. 既に述べたように、データはサイトと OpenID プロバイダーの間で送受信され、再び戻ってきます。データが交換されるたびに、データが危険にさらされる可能性があります。100% 安全なシステムはありません。SSL（HTTPS）でさえありません。データが私からある側に移動して自分に戻るだけなのか、その側から別の側に移動してまた戻ってくるのかは違います.

  5. OpenID プロバイダーがハッキングされ、ハッカーがすべてのユーザーのログイン データを取得した場合 (結局のところ、ユーザーは 1 か所に一元化されているのは素晴らしいことです!)、その影響を考えてみてください。

ほんの数例を挙げると。また、OpenID の大きな利点も見落としています。彼らが言うユーザーのために

1. より速く、より簡単な登録とログイン
   • ユーザー名/パスワードを忘れたことによるフラストレーションの軽減
   • 優先サイトで最新の個人データを維持する
   • パスワードのセキュリティ リスクを最小限に抑える

よし、分析してみよう。

(1) 1 日にどのくらいの頻度でページに登録しますか? 200回？週に 2 ページ登録するとしたら、それはもう大変なことです。通常は、せいぜい 2 ～ 3 か月です (実際には、スタック オーバーフロー、またはスタック オーバーフローを使用するための OpenID プロバイダーは、私が登録した最後のページであり、これは昨日のことではありません)。月に 2 つのサイトに登録すると、フォームに記入するのに 5 分もかかりませんか? さあ、ばかげてはいけません。

(2) どうやって？どこでも同じパスワードを使用しているためですか？「これは未来ではありません。これはバグです」と、ほとんどのセキュリティ専門家は言うでしょう。それとも、メールでパスワードを回復できるからですか? 実際、私が使用するほぼすべての面でそうすることができます。それにもかかわらず、私の Firefox は私のパスワードをよく覚えていて、(マスター パスワードを使用して) 暗号化してディスクに保存し、この暗号化されたデータベースは失われないように定期的にバックアップされています。

(3) うーん、これはおそらくポジティブなことです... しかし、私の名前は今のところ変更されていません。私の電子メール アドレスも、私が使用し、実際のアドレスに転送されているドメインの 1 つであるため、変更されることはありません (したがって、実際のアドレス変更できます。転送を更新するだけで、すべてが以前と同じように機能します)。私の住所？よく動く人もいますね。私はこれまでの人生で一度だけ引っ越しました。ただし、ほとんどの側は私の番地を知る必要はありません。人々にこの情報を知ってもらう理由はないと思いますが、登録のために記入するように要求するサイトは、偽物を手に入れてください. 私の本当の住所を知っているサイトは、インターネット全体でほとんどありません (実際には、私に普通郵便を送ったり、商品を注文したりするサイトだけです)。

(4) 実際、私はそれを逆に見ています。セキュリティリスクを最大化します。どのようにリスクを最小限に抑えますか?

Answer 3

OpenID は本質的に安全ではありません。これは、サイトがユーザーをオープン ID プロバイダー サイトにリダイレクトし、そのサイトから ID を受け入れることによって機能します。これにより、両方向に不安が生じます。戻ってくる ID を信頼する必要があり (ユーザーを自分で認証する方法がないため)、ユーザーのオープン ID プロバイダーへのプロキシを簡単に操作して、ユーザー名とパスワードを盗むことができます。

OpenID は、誰かがあなたになりすましても問題にならない Stack Overflow のようなものには適しています。より深刻な (個人レベルの) コンテンツを含むサイトに OpenID を使用することは、非常に危険です。たとえば、メールに OpenID を使用している場合、ID を盗んだ人は誰でもメールにアクセスできます。次に、それらのサイトのパスワードを取得するために、ユーザーが使用している他のサイトにパスワード リマインダ リクエストを送信する可能性があります。最悪の場合、銀行口座に OpenID を使用するか、パスワード リマインダーをメール アカウントに送信する銀行を利用することもできます...

OpenID には他にも多くのセキュリティ上の問題があります。詳細については、 「インターネット上のプライバシー」を参照してください。

Answer 4

OpenID は、信頼できるコンポーネントとして扱う必要がある認証プロセスに別の当事者を追加します。電子メールによるアカウント回復を可能にするアプリケーションに関しては非常に似ていますが、電子メール メッセージはクリアテキストで送信されますが、確認済みの HTTPS 接続のみを介して OpenID プロバイダーと通信することを選択できます。

仕様のセキュリティに関する考慮事項のセクションを確認してください。

OpenID の弱点の優れた説明と、優れた OpenID プロバイダーが従来の簡単にフィッシングされたパスワードよりもはるかに安全なエクスペリエンスを提供できる方法のデモンストレーションについては、 Kim CameronによるIdentity Weblogの短いビデオを参照してください。

Answer 5

ほとんどの OpenId プロバイダーの主な弱点は、電子メールでパスワードの回復を提供していることだと思います。これにより、OpenId のセキュリティが私の電子メール プロバイダーのセキュリティにまで低下します。誰かが私の電子メール アカウントにアクセスすると、事実上、私の ID を盗むことができます (OpenId の有無にかかわらず)。

認証に OpenId を使用すると、ym の ID を簡単に盗むことができます。電子メール アカウントにアクセスして、OpenId パスワードをリセットするだけです。これ以上何もする必要はありません (Web 上の各アカウントに 1 つずつ、100 のパスワード リセット リクエストの代わりに)。

さらに悪いことに、攻撃者が私の電子メール アカウントのパスワードを変更した場合、私がその OpenId アカウントの元の所有者であることを証明することは非常に難しくなります。攻撃者は関連付けられた電子メール アカウントを攻撃者のアカウントに変更する可能性があるため、後で電子メール アカウントを取り戻したとしても、パスワードをリセットすることはできません。

私の ID を盗むために、私の OpenId プロバイダーが送信するパスワード回復電子メールにアクセスするだけで十分かもしれません。

OpenId プロバイダーは、電子メール パスワードの回復を無効にする機能を提供し、失われたパスワードを回復するためのより安全な方法を提供する必要があります。住所、パスポート、または銀行口座に基づくもの (電子メール アカウントよりも信頼できるもの)。

1 つの電子メールにアクセスするだけで OpenId アカウントが乗っ取られる限り、それは追加の単一障害点にすぎません。

参照: http://danielmiessler.com/blog/from-password-reset-mechanisms-to-openid-a-brief-discussion-of-online-password-securityここで、「最も弱いリンク: メール パスワード リセット メカニズム」はも対処しました。

Answer 6

HTTPS をサポートしないすべての OpenID プロバイダーを無視することを選択すると、OpenID をより安全にすることができます。

Answer 7

このスレッドは古いですが、2 セント追加したいと思います。OpenId には、誰も気にしていないように見える 1 つの欠陥があると思います。Yahoo で認証すると、実際には yahoo にログインします。yahoo にログインするのではなく、yahoo で適切な資格情報を持っていることを認証するだけです。アプリからログアウトしても、yahoo にはログインしたままです。あなたが共有コンピュータから離れ、別の人が yahoo にアクセスした場合、あなたはログインされます.. Yahoo で認証されると、彼らもあなたを彼らのサービスにログインさせるからです。彼らはあなたを認証するだけで、ログインするのではありません。私はこれについて何人かの人々に話し、stackoverflow.comでそれを示しました（ログアウトメカニズムがひどいです。ログアウトするとログアウトされると思います。クリックしないでください別のログアウト ボタン）。yahooまたはgmailのこのログアウトを試してください。すべてのタブを閉じて、そして、yahoo/gmail で stackoverflow にログインします。次に、スタックオーバーフローからログアウトします..（ログアウトを2回押すことを確認してください）.. yahooまたはgmailを参照してください。ログインしています。 Yahoo/gmail などの "...誰もが MIS やコンピューター サイエンスの学位を持つ開発者ではありません。私の義理の母は、Stackoverflow からログアウトしたときに、まだ yahoo にログインしていないだろうと考えるでしょう..おそらく私は実際に私が望むものを強制するいくつかのパラメーターまたは何かが欠けていますが、OpenIdがどれほど優れているかを示すドキュメントにはありません!!!

Answer 8

ああ。MyOpenID は未確認の電子メール アドレスを報告します。そのためのテストを行いました。電子メール情報は、google/yahoo などの手動でホワイトリストに登録された一部のプロバイダーに対してのみ信頼する必要があるようです。誰かが興味を持っている場合は、ここにコードをリンクします。

Answer 9

サイトが利用できる Verisign の VIP アクセスが気に入っています。また、secureID のように、生成されたトークンを取得してアクセスできる小さな iPhone アプリケーションがあります。