¿La práctica de "Traer su propia identidad" como la única opción de autenticación es una práctica válida?

8

Esta pregunta está dirigida principalmente a OpenID Connect, cuando está completamente realizada.

Entiendo la aversión a iniciar sesión con un sitio de redes sociales, pero por lo que entiendo sobre OIDC, se supone que finalmente permitirá a los desarrolladores simplemente implementar OIDC una vez y que funcione con todos los proveedores.

Una vez que esto ocurra, las personas tienen la opción de iniciar sesión con una red que no sea de redes sociales, y ver las opciones como Symantec y darse cuenta de que ' oh, esto de la Identidad no se trata solo de compartir mis contactos de correo electrónico y Lista de amigos con todo el planeta ', creo que gran parte de la desconfianza se evaporará.

Así que ignora las dudas sobre una red social y pasa a la pregunta:

¿Es BYOID como la única forma de autenticar y, por lo tanto, subcontratar completamente la autenticación, una práctica de seguridad válida?

    
pregunta Andrew Hoffman 25.06.2014 - 15:58
fuente

4 respuestas

2

En lugar de centrarme en la implementación de OIDC, quiero abordar la cuestión más general de:

  

¿Es BYOID como la única forma de autenticar y, por lo tanto, subcontratar completamente la autenticación, una práctica de seguridad válida?

Las claves públicas son una forma de autenticación subcontratada. Confiamos en la verificación por terceros de la validez de un certificado y, como resultado, permitimos el acceso a los recursos. En ese sentido, no parece irrazonable. Al vincular la validación externa a lo que podría equivaler a una "verificación de fuentes múltiples" (es decir, redes sociales), puede tener cierto nivel de confirmación de que la persona es la persona que espera que sea.

Es cierto que la implementación tiene algunos obstáculos importantes, pero el concepto es bien aceptado en otras formas.

    
respondido por el schroeder 25.06.2014 - 18:57
fuente
6

Sí este es un enfoque razonable.

No es un enfoque de riesgo cero. Si un usuario aún no tiene una cuenta de OpenID Connect, o no entiende el concepto, el proceso de registro se vuelve más difícil y corre el riesgo de perderlo. Debido a que está haciendo algo que no es estándar, obtendrá algunos usuarios inteligentes de alec que molestan a sus compañeros de apoyo con quejas pedantes. Y si hay algún compromiso futuro, tal vez un defecto en el protocolo OpenID Connect, puede parecer una tontería en comparación con los sitios que nunca aplicaron este enfoque.

Pero en general creo que esto es algo bueno que hacer. La mayoría de los usuarios ya tendrán una cuenta con una de las principales ofertas y estarán encantados de usarla, al igual que con gusto utilizo mi cuenta de Google para iniciar sesión para intercambiar información. Un número menor de usuarios tendrá una cuenta con un proveedor menor, a quien eligieron porque les gusta su política de privacidad. Y algunos incluso ejecutarán su propio servidor OpenID Connect. Creo que esto cubre las necesidades de todos, por lo que no es necesario proporcionar un respaldo al nombre de usuario + autenticación de contraseña.

Editar : al volver a leer mi publicación, me doy cuenta de que he hecho dos suposiciones:

  • Que OpenID Connect se convierte en un estándar de facto ampliamente utilizado. Si no es así, entonces ciertamente debe proporcionar alternativas.
  • Que tu sitio no es altamente sensible. Si es así, probablemente debería estar usando la autenticación multifactorial.
respondido por el paj28 25.06.2014 - 16:50
fuente
5

No , no creo que lo sea, aunque me estoy enfocando en propósitos de usabilidad más que en propósitos de seguridad, lo que quizás no sea a lo que te refieres con esta pregunta debido a donde lo publicaste , pero es importante tener en cuenta.

Hay personas, como yo, que no utilizan ningún servicio de autenticación de terceros. Tener estas como las únicas opciones de inicio de sesión sería negarme por completo la entrada a su sitio web, lo que podría haber estado interesado. Como tal, solo los grandes sitios de redes sociales como Facebook y tal vez Google tienen la suficiente tracción para que pueda razonablemente seguro que la mayoría de los visitantes interesados tendrían una cuenta con ellos. Pero siempre debe proporcionar una opción alternativa para aquellos que estén interesados pero no tengan o no deseen utilizar ningún servicio de terceros, de lo contrario, están negando innecesariamente a los participantes interesados.

    
respondido por el R W 25.06.2014 - 18:36
fuente
4

Dependerá en gran medida de su caso de uso. Por ejemplo, creo que es aceptable que sitios web como Plug DJ o Stackexchange implementen OpenID. A menudo no ofrecen ninguna otra forma de autenticación, pero me parece aceptable. Habrá una cantidad de usuarios a los que no les va a gustar, ya que de nuevo es otra forma en que las redes sociales pueden reunir aún más estadísticas, pero eso no es realmente un problema de seguridad.

Desde la perspectiva de una aplicación sensible, actualmente no es factible ni aceptable por varias razones. La percepción más importante y, en segundo lugar, el requisito de la autenticación de dos factores (que no estoy seguro de que esté disponible actualmente).

También los controles de seguridad de su aplicación para contraseñas (por ejemplo, políticas de contraseñas) son completamente confiables en la implementación del proveedor OpenID. Si los proveedores de OpenID cometen un error y se filtran las contraseñas, ¿quién será responsable si se produce un fraude en su solicitud?

    
respondido por el Lucas Kauffman 25.06.2014 - 16:29
fuente

Lea otras preguntas en las etiquetas