Os logins do OpenID estão comprometidos com a violação dos Fóruns do Ubuntu?

18

Sinceramente, não me lembro do que costumava acessar os fóruns do Ubuntu, mas tenho certeza de que era o OpenID. Devo me preocupar?

ubuntu-forums

— georgebrindeiro
fonte

4

OT fechar eleitor (es): Esta questão é definitivamente sobre o assunto; ajudamos pessoas com recursos da comunidade Ubuntu aqui ( "Serviços fornecidos pelo Ubuntu" ). Além disso, ele não pertence ao meta , que é apenas para perguntas sobre o próprio Ask Ubuntu (não sobre outros sites relacionados ao Ubuntu). Pode ser considerada uma duplicata desta pergunta anterior . Se fecharmos um deles como duplicado do outro, recomendo mesclar suas respostas.

— Eliah Kagan

Sobre a fusão de respostas: eu tinha visto a outra pergunta, mas não sabia se isso se aplicava ao meu caso, para ser sincero.

— georgebrindeiro

15

Como o login do OpenID é sempre processado no lado do emissor (por exemplo, se você usa o OpenID obtido no Launchpad, os Fóruns entram em contato com o Launchpad e é o Launchpad que processa sua autenticação), os Fóruns não mantêm sua senha do OpenID (eles não não preciso disso).

Portanto, tudo o que os invasores podem obter é o seu login no OpenID, mas não a senha, pois ela não está lá.

Além disso, apenas para ser completo, de acordo com este anúncio oficial , apenas os Fóruns são afetados, nenhum outro serviço é.

— Rafał Cieślak
fonte

11

Não é apenas o caso de eles não precisarem salvá-lo - eles nem podem salvá-lo, pois uma boa parte confiável do OpenID nunca vê a senha do usuário.

— Martin Thoma

8

De http://openid.net/

Com o OpenID, sua senha é fornecida apenas ao seu provedor de identidade, e esse provedor confirma sua identidade aos sites que você visita. Além do seu provedor, nenhum site nunca vê sua senha; portanto, você não precisa se preocupar com um site sem escrúpulos ou inseguro que comprometa sua identidade.

O provedor de identidade é, por exemplo, o Google e o site que você visita é UF.

Então sim, você deve estar seguro.

— Rinzwind
fonte

3

De um modo geral (pelo menos que eu saiba) ao usar uma conta Open ID para efetuar login, a autenticação é feita exclusivamente pelo site externo (por exemplo, se eu usar o Facebook para fazer login aqui, a autenticação seria tratado exclusivamente pelo Facebook e não pelo Ask Ubuntu). O outro site entrega apenas um identificador exclusivo que informa ao Ubuntu Forum / Ask Ubuntu / o que você é e não transmite nenhum dos seus detalhes de login.

Portanto, as senhas armazenadas (+ hash e salgadas) pelo fórum do Ubuntu seriam apenas para contas locais (conforme mencionado na seção "O que sabemos" da página de manutenção atual)

É claro que se você ainda estiver preocupado com isso, não faria mal mudar suas senhas - e, para ficar tranqüilo, provavelmente seria uma boa idéia fazê-lo de qualquer maneira - mas, pelo que sei, a menos que o serviço que você usou para autenticar seu Open ID foi violado (Google, Facebook etc.), não deve haver muito motivo para se preocupar.

Veja esta página no site do OpenID para mais detalhes.

— Jez W
fonte

1

Se você realmente usou o OpenID: Não .

O processo de login é executado entre seu provedor OpenID e você. Os serviços que permitem que você use o OpenID nem vê sua senha! Não há possibilidade de como o ubuntuforums poderia ter armazenado sua senha.

Recursos OpenID

Os seguintes recursos podem ajudá-lo a entender como o OpenID funciona.

Um vídeo do YouTube
Wikipedia
Muito conteúdo do Google sobre OpenID (a imagem é muito boa)

— Martin Thoma
fonte