Seguridad del administrador de contraseñas en la nube (Dashlane, LastPass) frente al inicio de sesión federado (OpenID, Google, Yahoo, Microsoft, Facebook)

Navega tus respuestas
1

Muchos sitios web ofrecen la opción de iniciar sesión con su cuenta de Google o Facebook existente (entre otras). Durante mucho tiempo me he resistido a hacer esto porque uso un administrador de contraseñas y pensé que era más seguro crear una cuenta separada para cada sitio web con una contraseña segura y pseudoaleatoria. La integración del navegador para algunos administradores de contraseñas basadas en la nube es excelente, y comencé a preguntarme por qué nadie había creado una versión del lado del servidor. Entonces me di cuenta de que el inicio de sesión federado básicamente es el equivalente del lado del servidor de un administrador de contraseñas (asumiendo que no reutiliza las contraseñas para el administrador de contraseñas).

Desde un punto de vista de seguridad, ¿hay alguna buena razón por la que prefiera crear credenciales de inicio de sesión únicas y almacenarlas en un administrador de contraseñas en lugar de usar el inicio de sesión federado o viceversa? (suponga que quiero usar un administrador de contraseñas basado en la nube)

    
pregunta rob 27.11.2013 - 23:24
fuente

2 respuestas

1

Al menos una forma de ver esto es considerar la solidez y la calidad de la autenticación ofrecida en el sitio de destino en comparación con el proveedor de identidad (IDP) con el que desea federarse.

Por ejemplo, considere si tiene la opción de abrir una nueva cuenta con una contraseña antigua (que almacenará en su aplicación Password Manager) versus redirigir a un IDP que realice una autenticación basada en riesgos (RBA) además a su contraseña para el IDP. El sistema con RBA potencialmente considerará una variedad de factores para calificar la sesión de autenticación, como la dirección IP del cliente, las características del navegador, el patrón "normal" del comportamiento para ese usuario, etc. Si la puntuación de riesgo Resulta ser alto, puede que se te solicite responder algunas preguntas u otro método de mejora ya configurado en ese IDP.

En este caso, ¿qué opción prefieres? ¿Solo la contraseña simple o un IDP con contraseña + RBA? Los servicios como Facebook están implementando gradualmente capacidades basadas en el riesgo sobre el servicio de autenticación (es por eso que puede que se le indique una imagen de un amigo, etc.). Puede leer más sobre RBA en este informe:

enlace

una definición más genérica está disponible desde aquí:

enlace

Saludos.

    
respondido por el John Smith 28.11.2013 - 01:16
fuente
0

Esta pregunta discute la diferencia entre los administradores de contraseñas en línea y fuera de línea.

Entonces, ¿cómo se compara un administrador de contraseñas en línea con un proveedor de identidad federado?

Los dos tienen un perfil de riesgo similar En ambos casos, confía plenamente en su proveedor. Esto no es algo malo: puede elegir su proveedor, así que elija uno en el que confíe, incluso si esto significa ejecutar su propio servidor. Ambos enfoques tienen un riesgo razonable de fallas en la implementación, y los tipos de fallas serían muy diferentes, pero no hay nada que haga que un enfoque sea inherentemente mejor que el otro.

La diferencia es la experiencia del usuario. El inicio de sesión federado generalmente tiene un flujo un poco más agradable, pero depende de cada sitio web para admitirlo. Los administradores de contraseñas en línea necesitan un complemento de navegador, lo que puede ser problemático si utiliza con frecuencia máquinas diferentes.

    
respondido por el paj28 28.11.2013 - 12:49
fuente

Lea otras preguntas en las etiquetas

iOS: caja de arena de una aplicación de iphone ¿Un dispositivo PCI DSS de categoría 2x requiere la misma seguridad física que 1a / b?