¿Existen riesgos de usar el mismo proveedor de OpenID para sitios con diferentes niveles de seguridad?

5

Siempre uso el mismo proveedor OpenID (Google, con un pw único fuerte y autenticación de 2 factores) en todos los sitios que lo admiten, sin pensarlo dos veces. Tengo entendido que, siempre que el proveedor esté seguro, no importa si uno o más de estos sitios se ven comprometidos, el resto de ellos permanecerán seguros.

Sin embargo, un comentario en otra pregunta me pone en duda:

  

Una parte del problema es que "pierdes" el control de las identidades de tus usuarios, por lo que podrías estar exponiendo tus datos (...). Sin embargo, normalmente un usuario usará su OpenId para varios sitios, algunos de menor seguridad, lo que podría poner en riesgo su identidad en el sitio de mayor seguridad. (Una cuestión de límites de confianza y superficie de ataque). PERO, si quiere mezclar la identidad entre sitios seguros y no tantos, esa podría ser su elección.

He estado leyendo sobre identidades centradas en el usuario y en la empresa y algunos conceptos relacionados , pero no podía entender cómo puede suceder esto. Después de todo, cada Relying Party solo confía en el proveedor de OpenID, no necesariamente uno del otro. La actividad en uno de ellos no será respaldada por el otro, incluso si informa que está vinculada a la misma cuenta de OpenID. Además, la información confidencial en un RP no necesariamente encontrará su camino de regreso al OP, y mucho menos estará disponible para los RP restantes.

Y de todos modos, un sitio (o colección de sitios relacionados) puede crear su propia "persona" independientemente del método de autenticación. StackExchange, por ejemplo, tiene un solo perfil de red que centraliza todas las acciones del mismo usuario en sus muchos sitios, y al mismo tiempo permite que cada usuario se autentique en la misma cuenta a través de muchos proveedores de OpenID (si cualquiera de los proveedores está comprometido, entonces, por supuesto, la cuenta de usuario estará en riesgo, pero no si todos los proveedores están seguros y alguna otra parte de confianza (vinculada a cualquiera de ellos) se comporta mal.

¿Me estoy perdiendo algo? ¿Debo usar diferentes proveedores para los sitios que me importan más o menos, o puedo seguir usando uno solo para todo?

P.S. La primera vez que leí "Acabo de iniciar sesión como tú" y su seguimiento Pensé que era un problema con OpenID, pero después de una lectura cuidadosa comprendí que el problema real al que se enfrentaba Jeff era la reutilización de la contraseña, y además de eso, su cuenta de proveedor aún sería segura. ¿Es correcto, o existe realmente la posibilidad de que una Parte confiada comprometida pueda terminar interfiriendo con el proveedor de OpenID?

    
pregunta mgibsonbr 22.02.2013 - 01:14
fuente

1 respuesta

5

El riesgo aquí es la propia persona en línea y lo que resultaría en ataques de ingeniería social. Digamos que utiliza google como el autenticador de Openid y lo ha vinculado a los sitios de intercambio de pila junto con una colección de otros sitios. Antes de esto, es posible que haya usado el mismo nombre de usuario y todo lo demás en todos los sitios, pero fue una asociación suelta que las personas no utilizarían para confiar en que "mgibsonbr" es realmente usted. Bueno, ahora la gente puede ver en sitios como el intercambio de pila, reddit y shodanhq, mgibsonbr está vinculado directamente a su cuenta de gmail y confían en que realmente están hablando con usted.

Ahora digamos que alguien compromete el intercambio de pila y puede hacerse pasar por cualquier usuario. Gran problema ¿verdad? todo lo que pueden hacer es hacer o contestar preguntas y la gente pensará que usted no entendió lo que haría rm -rf / . Bueno, ¿y si empezaron a solicitar puestos de trabajo como usted en el sitio Careers 2.0? Los empleadores creerán que realmente están hablando con usted porque el sitio de Careers 2.0 está directamente vinculado a su dirección de correo electrónico. Tal vez incluso consigan un trabajo y trabajen como ustedes en alguna compañía. O tal vez otro sitio que usted vinculó a su OpenID le permitió solicitar tarjetas de crédito. Ahora alguien tiene tarjetas de crédito a tu nombre.

La idea es que no quieras vincular tu ID abierta con ningún sitio en el que poses como podría hacer ningún daño real.

    
respondido por el Eric 22.02.2013 - 01:38
fuente

Lea otras preguntas en las etiquetas