oauth2 autenticación de cuenta

5

imagine que ha asegurado su aplicación con oauth2 y varios proveedores oauth.

Ahora imagine que alguien utiliza el proveedor A con el correo electrónico [email protected] para iniciar sesión.

La próxima vez, alguien usa el proveedor B con el mismo correo electrónico [email protected] para iniciar sesión.

Ambos proveedores declaran que la dirección de correo electrónico está verificada y ambas son grandes empresas (no hay forma de especificar su propio proveedor o algo así).

¿Debe asignar ambos inicios de sesión a la misma cuenta? ¿Cuáles son los riesgos?

Los riesgos que ya veo son que la superficie de ataque está creciendo: si quiero hackear la cuenta de Bob, puedo intentar hackear al proveedor A o B. Pero el beneficio sería más conveniencia para Bob, ya que no tendrá que recordar qué proveedor usó ...

    
pregunta rdmueller 13.06.2013 - 08:41
fuente

1 respuesta

5

En primer lugar, asegúrese de que cada proveedor de OAuth verifique realmente la dirección de correo electrónico de los usuarios. Google y Facebook hacen esto, pero no todos los sitios verificarán su dirección de correo electrónico (reddit es un ejemplo). Google y Facebook están a la altura cuando se trata de seguridad, y dudo que sean el enlace más débil. Sin embargo, la defensa en profundidad es de una calidad admirable.

Una solución simple al problema de usar la dirección de correo electrónico como identificador único es enviar un correo electrónico al usuario y pedirle que haga clic en un enlace que confirma que ambos proveedores de OAuth deben estar vinculados.

    
respondido por el rook 13.06.2013 - 18:22
fuente

Lea otras preguntas en las etiquetas