¿Las partes que confían malintencionadamente pueden abusar de los inicios de sesión de OpenID?

16

si inicio sesión con OpenID en un sitio web (diseñado por atacantes / piratas informáticos), quiero saber cuánto daño pueden hacerme.

¿Pueden robar mi información de contacto, nombre, etc. (asumiendo que estoy usando Gmail OpenId)

    
pregunta Pacerier 20.05.2011 - 03:50
fuente

4 respuestas

9

Si se autentica en otro sitio web con el sistema OpenID de Google, les dirá que la persona que se autentica tiene el control de esa dirección de GMail en particular. A menos que se pongan en línea entre usted y otro sitio, no podrán realizar un ataque MITM. Solo pueden aprovechar efectivamente sus credenciales si pretenden ser su proveedor de identidad y usted coloca su contraseña en el sitio web incorrecto.

Para una visión integral de lo que puede salir mal con OpenID, Google lo dice mejor que yo: enlace

    
respondido por el Jeff Ferland 20.05.2011 - 04:19
fuente
8

Cuando utiliza un OpenID de Google para iniciar sesión en un sitio (que es, por lo tanto, un "usuario de confianza" o RP de OpenID), el RP solicita diversas formas de información y la obtiene si usted acepta proporcionarla. Google te dice lo que pidieron. Así que sí, el RP puede obtener información de contacto, con su permiso.

Pero el diseño de OpenID está destinado a proteger las cosas más importantes: sus credenciales de autenticación (contraseña o cualquier otra cosa).

    
respondido por el nealmcb 20.05.2011 - 05:55
fuente
2

No es exactamente la respuesta a la pregunta, pero es bueno darse cuenta de que al registrarse con OpenID, todavía le está confiando a la parte de retransmisión (e-shop, foro, etc.) sus datos personales, y en muchos casos querrán Guárdalo. Así que depende de ellos si protegen a los datos de ser recolectados.

Por ejemplo, recientemente descubrí que una tienda electrónica en la que me registré con OpenID, mi correo electrónico, mi dirección real, mi teléfono, el historial de compras ... estaba "protegida" por una contraseña de 5 dígitos, almacenada en la base de datos. .

Entonces, no caigas en una trampa que al usar OpenID eres intrínsecamente más seguro. OpenID es una gran idea, pero todavía tienes que confiar en todas las partes. Obviamente, tiene que confiar en el proveedor de OpenID, pero también cada vez que se registre en una nueva tienda electrónica, foro o cualquier otro servicio, OpenID les pasará la información para que tenga que preguntarse:

  • "¿realmente necesitan toda esta información?"

  • y "¿Están lo suficientemente dispuestos y competentes para mantenerlo seguro?"

respondido por el Alois Mahdal 24.06.2014 - 16:21
fuente
1

Tenga en cuenta que OpenID es un punto único de falla. Si fueron pirateados como RSA Empresa entonces todas las cuentas pueden ser comprometidas. La desventaja es que si usted tiene un problema como la inyección de SQL y solo usa OpenID, entonces un atacante no podría comprometer las cuentas con este tipo de vulnerabilidad.

    
respondido por el rook 20.05.2011 - 04:30
fuente

Lea otras preguntas en las etiquetas