Trabajo con API todo el tiempo y trabajo con desarrolladores web que insisten en que OAuth, OpenID, etc. son muy superiores a los métodos de elaboración doméstica. Cada sitio parece estar usando estos también ahora para facilitar el uso para el usuario, pero también para la seguridad. Lo escucho todos los días casi que es más seguro, pero me parece extremadamente difícil de creer por varias razones:
-
Si un pirata informático obtiene de alguna manera su contraseña para un sitio, sabe que tiene acceso a la mayoría de los sitios que visita ahora.
-
Facilita el phishing 10 veces. Con tanta gente que usa los mismos inicios de sesión y vuelve a hacerlo, una y otra vez es menos probable que las personas lean todo y comprueben la URL arriba.
¿Podría enumerar más razones por las que no es seguro o podría explicarme por qué es más seguro? No veo por qué aguantaría la molestia de integrar uno de estos cuando parece que un usuario estaría bien ingresando en 3 campos (nombre de usuario, contraseña, correo electrónico) en lugar de hacer clic en el logotipo del servicio para iniciar sesión (Twitter, Google, FB, etc.), ingresando su nombre de usuario / contraseña, haciendo clic en enviar, haciendo clic en aprobar.
== Actualizar ==
Para ampliar mi pregunta según la solicitud.
A mis dos puntos anteriores, # 1 , no importa cómo lo obtenga el hacker. No estoy seguro de cómo ampliarlo exactamente. Usted podría forzarlo, adivinarlo, usar la contraseña olvidada y hacer un ataque de diccionario a preguntas comunes, etc. Sin embargo, como quiera que sea, 1 contraseña para acceder a 1000 servidores es mucho menos segura que 1000 contraseñas para acceda a 1000 sitios diferentes. Personalmente, puedo adivinar algunas de las contraseñas de mis amigos y familiares y tendré acceso a todo tipo de cuentas. Ni siquiera tendría que buscarlos. Mientras navego por la web, simplemente inicie sesión ... Si era un hacker, muchas de estas contraseñas son muy fáciles de descifrar. Algunas de las contraseñas de mi amigo son, pepsi
, tina
(entonces año de nacimiento), 123456
, y otras estúpidas. Aunque mi favorito es tomcruisesucks
LOL.
Para el punto # 2 , para ampliar más, podría ir a enlace , enlace , enlace , enlace y todos tienen un nombre de usuario de Twitter. Confío en los sitios (en su mayor parte) así que, honestamente, no reviso la URL de la ventana emergente que aparece para iniciar sesión y asumo que la mayoría no lo hace. Esa ventana emergente podría haber sido fácilmente pirateada por un pirata informático que ingresa a uno de sus servidores, un empleado malvado o simplemente un sitio de aplicaciones falsas que un bot está enviando a las personas a través de Twitter que varias personas inician sesión en esta aplicación falsa, pero usando el inicio de sesión de Twitter.
Las personas están acostumbradas a ver las mismas páginas de inicio de sesión que ya no se ven . Si este hilo se vuelve lo suficientemente popular, puedo hacer fácilmente una prueba súper simple en Twitter o FB enviando a todos un enlace a una aplicación falsa, tener una ventana emergente que se parece a Twitter o FB y ellos iniciarán sesión. Lo garantizo. Si hago que la pantalla de inicio de sesión vaya a, digamos, enlace o enlace se preguntarán por qué estoy aquí, por qué necesitan esta información, etc. Los mismos sitios utilizados para iniciar sesión una y otra vez son extremadamente malos en la práctica.
Ese es mi punto de discusión ampliado;)