¿Se debe utilizar WS-Fed, Mozilla's Persona u OpenID con una aplicación de Banca?

Creo que los bancos deberían mantener sus sistemas cerrados y tener políticas de seguridad más estrictas que la mayoría de los proveedores de OpenID. Imagine iniciar sesión en su cuenta bancaria a través de Facebook, Gmail u otros proveedores. Esto aumentaría mucho la superficie de ataque.

La mayoría de los bancos tienen tokens de hardware para sus sitios de banca web y otras características de seguridad para proteger sus transacciones. Las configuraciones comunes incluyen:

• Autenticación primaria con un nombre de usuario y una contraseña
• En cada operación confidencial mientras esté conectado, se solicita un token generado por el dispositivo de hardware
• Se envía un mensaje a su correo electrónico / teléfono con detalles sobre la transacción que se ha realizado por un monto superior a un determinado.

Los bancos tienen un entorno muy sensible que deben proteger y confiar en terceros para la autenticación no es la mejor solución.

Deben tener sistemas sólidos implementados para que puedan ser auditados en cualquier momento y también deben poder lidiar con cualquier incidente de seguridad (contar con mecanismos de registro, alertas de comportamiento anormal, etc.).

Si su banco aún no cuenta con autenticación multifactor, están un paso atrás con respecto a la seguridad de su aplicación web.

Los bancos deben mantener su autenticación cerrada en lugar de utilizar un tercero.

1. Control de riesgo: los bancos deben controlar sus riesgos, y el uso de un sistema de autenticación de terceros introduce riesgos fuera de su control. Esto puede cambiar a medida que se desarrollen sistemas de terceros.
2. Haría de los sistemas de autenticación de terceros un objetivo aún más. Si todos los bancos comenzaran a usar OpenID, todos los crackers apuntarían a OpenID ya que el éxito les daría acceso a una gran variedad de cuentas. Tener un montón de diferentes sistemas de autenticación puede ser malo en algunos aspectos, pero al menos mantiene ocupados a los nerds con los sombreros negros.

Si bien los sistemas como OpenID son excelentes desde el punto de vista de permitir credenciales compartidas que están aseguradas por una parte que es (con suerte) confiable, son problemáticas cuando se trata de actividades financieras, ya que el banco no tiene control sobre el sistema del tercero y tiene muy poca manera de detectar si el proveedor remoto ha sido comprometido. (Aunque estoy seguro de que un millón de usuarios de Facebook iniciaron sesión repentinamente y comenzaron a decir que envíen el saldo disponible completo a alguna cuenta rusa al azar, podría indicar un problema).

En última instancia, las credenciales compartidas en general son una mala idea, particularmente cuando se atraviesan diferentes niveles de sensibilidad al riesgo. Si bien OpenID le permite limitar el daño potencial al permitir que solo se almacene en un lugar y, por lo tanto, tenga una superficie de ataque más pequeña y se actualice con mayor facilidad, aún está poniendo muchas claves en un llavero.

Ejecuto mi propio servidor OpenID, pero ni siquiera estoy seguro de que quiera usar mi OpenID para mis transacciones financieras, ya que todas las cuentas están agrupadas en una categoría de seguridad significativamente superior a cualquier otra cuenta diaria.