A identificação aberta é segura?

O ID aberto é seguro, por exemplo, você pode usá-lo para fazer login em contas bancárias?

O OpenID é tão seguro quanto o provedor OpenID (ou seja, "Se alguém invadir sua conta do Myspace, ele terá acesso ao seu OpenID e tudo o que o usar").

Pessoalmente, eu não confiaria em nada valioso. A maioria dos provedores de OpenID tem um péssimo histórico de segurança.

Embora eu concorde com o voretaq7 que o OpenID é tão seguro quanto o provedor OpenID, devo dizer que, ao selecionar um provedor OpenID para usar, é preciso ter cuidado para garantir que você esteja usando um provedor respeitável. Essa mesma idéia se aplica a tudo que tem a ver com segurança. Google, AOL e eu acho que até a Verisign agora oferece OpenIDs e essas empresas / fornecedores têm um bom histórico.

Uma das principais vantagens do OpenID sobre a segurança doméstica ou outro pacote de terceiros é que ele coloca o aspecto de autenticação da segurança nas mãos de empresas com mais experiência e mais recursos para lidar com isso do que a maioria das entidades menores. Eles tendem a ter uma melhor capacidade de proteger seus servidores e dados. Como funcionário de uma pequena loja, certamente confiaria mais no Google do que em mim para configurar corretamente os servidores, firewalls etc. necessários para proteger esses dados.

No entanto, o OpenID é igualmente vulnerável ao aspecto mais perigoso de todos - os usuários que escolhem credenciais fracas.

OpenID é uma maneira de delegar autenticação a terceiros. Para um aplicativo de alta confiança, como bancário, para quem você delega a autenticação é uma decisão importante e importante de segurança. O protocolo openID, tal como está, é suficiente para qualquer padrão que permita a autenticação de fator único (o token de autenticação openID) ou a autenticação delegada para um sistema que possui proteções de autenticação suficientes.

A próxima pergunta: existem fornecedores atuais de openID seguros o suficiente para serviços bancários online?

Essa é uma pergunta diferente e provavelmente é negativa agora. No entanto, não há nada (técnico) em parar, digamos, um consórcio de bancos americanos que reúne recursos para criar um único provedor de openID bancário que segue um padrão declarado e é auditado. Esse provedor de openID pode usar qualquer método de autenticação necessário, seja SiteKey, SecureID, furto de cartão inteligente ou qualquer outra coisa que seja exigida. Considero essa possibilidade improvável para os principais bancos comerciais, mas a comunidade da União de Crédito pode apenas tentar.

OpenID é tão seguro quanto o mais fraco (1) do site no qual você está tentando fazer login; (2) seu provedor OpenID; ou (3) o sistema DNS.

Recomendação:

• Use o sistema de segurança / login recomendado pelo seu banco e entenda os termos e condições de serviço para que você conheça seus direitos se sua conta estiver comprometida.
• Não incentive seu banco a adotar o OpenID, pois isso reduzirá a segurança de seus serviços.

Fraquezas:

Uma conseqüência imediata desse fato é que o OpenID pode, na melhor das hipóteses, ser tão seguro quanto o site no qual você está tentando fazer login; nunca pode ser mais seguro.

No protocolo OpenID, o redirecionamento para o seu provedor está sob o controle do site no qual você está efetuando login, o que leva a phishing trivial e ataques intermediários. Esses ataques permitirão que um site hostil roube suas credenciais de OpenID sem que você saiba , que podem ser usadas posteriormente para fazer login em qualquer outro site habilitado para OpenID como você.

Os ataques de DNS são mais complicados, mas permitem que um invasor convença seu banco de que ele é seu provedor OpenID. O invasor efetua login usando seu OpenID e faz com que seu provedor falso dê autorização ao banco. Nesse caso, o invasor não precisa phishing ou aprender sua senha ou instalar nada no seu computador - tudo o que ele precisa é do seu OpenID.

Da mesma forma, um ataque ao seu provedor OpenID permitirá que o invasor efetue login como você em qualquer site habilitado para OpenID, sem saber sua senha.

Mais informações sobre os pontos fracos e ataques do OpenID em http://www.untrusted.ca/cache/openid.html .

OpenID é um protocolo. O protocolo é muito seguro, no entanto, o método de autenticação de back-end não precisa ser. Você pode executar um portal OpenId que validará um usuário de uma caixa dos através do telnet no Bangladesh.

É seguro o suficiente para serviços bancários? Sim. Na verdade, eu gostaria que todos os provedores bancários permitissem. Além disso, se você deseja confiar mais nos provedores bancários do que em outros provedores de tecnologia - não seria bom se eles o fornecessem ?