¿Es razonable permitir que Google inicie sesión para las personas que se registraron "normalmente"?

Question

¿Es razonable permitir que Google inicie sesión para las personas que se registraron "normalmente"?

#1 de Lie Ryan (1 votos)
#2 de OscarAkaElvis (-2 votos)

3

He estado pensando: digamos que un usuario se registra en su sitio de la manera "estándar". Es decir, ingresan una dirección de correo electrónico, tal vez un nombre de usuario y una contraseña, y completan el proceso de registro. ¿Es entonces, desde el punto de vista de la seguridad, razonable permitirles más tarde iniciar sesión con la autenticación de Google?

Por ejemplo, considere el siguiente flujo:

Usidore se registra con su dirección de correo electrónico, [email protected]
Usidore cierra la sesión y se olvida del sitio por un tiempo.
Usidore, sin recordar qué método de registro utilizó, intenta iniciar sesión con su cuenta de Google que tiene el correo electrónico [email protected] , y ha iniciado sesión en su cuenta original.

Mi razonamiento es que la cuenta de Google (hasta donde sé) tiene la garantía de ser propiedad de la persona que tiene acceso al correo electrónico: el usuario. En caso de que la persona que tiene acceso al correo electrónico no sea el usuario, bueno ... el pirata informático podría realizar un restablecimiento de la contraseña de todos modos, por lo que no debería introducir ningún agujero adicional. Incluso podría ser más seguro que eso, gracias a la lógica difusa anti-piratería de Google.

Ahora, este probablemente imposibilitaría tener + -es en su dirección de correo electrónico, ya que Google los usa para un propósito especial mientras que otros sitios no . Sin embargo, corríjame si me equivoco y podría haber una manera de hacer que eso funcione.

En cualquier caso, ¿sería esto seguro? ¿Hay algo que no esté considerando, y no sería? ¿Quizás solo sea seguro para las direcciones de Gmail por alguna razón? Tal vez solo sería seguro si el usuario vincula explícitamente la cuenta de Google a la cuenta del sitio (pero, de nuevo, tal vez no; no tengo idea). Me encantaría saberlo.

authentication openid-connect oauth2 google

pregunta obskyr 18.12.2016 - 12:34

fuente

2 respuestas

Lea otras preguntas en las etiquetas authentication openid-connect oauth2 google

¿XSS no se puede explotar cuando se envían datos POST en JSON? Cómo notificar a Adobe sobre un problema de software

score 1 · Answer 1

Sí, muchos sitios web permiten esto al permitirle vincular una cuenta local con la cuenta de Google. Debe enviar un correo electrónico a la dirección de correo electrónico de la cuenta anterior, que requiere un clic / código de confirmación de ese correo electrónico, en lugar de requerir / asumir el mismo correo electrónico. Por lo que respecta a la seguridad, esto no es diferente al restablecimiento de la contraseña por correo electrónico.

Lo siguiente es que puede permitirle al usuario opcionalmente desactivar la autenticación local y solo usar la autenticación de la cuenta de Google. Bríndele al usuario la opción, ya que es posible que algunos usuarios deseen iniciar sesión en su sitio mediante máquinas compartidas / públicas sin tener que autenticarse en su cuenta de correo electrónico, por lo que la autenticación local puede ser útil en este caso.

Cuando un usuario se registra para una nueva cuenta, puede notificar al usuario que ya existe una cuenta con el mismo correo electrónico con un método de autenticación diferente. Luego, puede solicitarles que inicien sesión o restablezcan la contraseña en la cuenta anterior para vincular la cuenta al nuevo método de autenticación. Para los nuevos usuarios, también se les debe permitir crear una cuenta solo con la autenticación de la cuenta de Google, sin crear la autenticación local.

score -2 · Answer 2

Creo que cuanto más opciones de inicio de sesión, más posibilidades de pirateo. Si el usuario solo tiene una forma de inicio de sesión, puede ser pirateado, pero si tiene dos posibilidades de inicio de sesión, ahora hay dos posibilidades de ser pirateado, la forma normal y la cuenta de Google que tiene otra contraseña diferente.

Tienes razón al pensar que Google tiene buenos mecanismos contra la piratería ... pero nunca lo sabes. Tal vez el usuario pueda ser pirateado en LAN, sniffed o sslstripped o quién sabe.

En mi opinión, el inicio de sesión con un usuario / contraseña estándar validado por correo es suficiente. Pero colocar la opción de inicio de sesión de Google tal vez sea más porque existen otras razones diferentes a la seguridad.