Модернизация OpenID и могу ли я доверять, где задействованы конфиденциальные данные?

Question

Я рассматриваю добавление OpenID нашего клиента сталкивается администратор и управления областью панели ...

1 - Общаясь OpenID с существующими аккаунтами

Для клиентов, которые уже имеют счета с нами, я думаю, они необходимо будет войти в систему, используя свой существующий номер учетной записи, который мы выдаем, и тогда у меня будет механизм связать их OpenID с этой учетной записью в своей области управления учетными записями (назовите это «OpenID Manager» ради аргумента).

В OpenID Manager, предположим, что пользователь уже имеет OpenID, должен ли я аутентифицировать пользователя по сравнению с его OpenID, а затем связать с нашим сгенерированным номером учетной записи для будущих логинов OpenID (при условии, что они прошли аутентификацию в порядке)?

2 - Чувствительные данные

Хотя мы не храним полные данные кредитной карты в нашей БД есть другие данные, которые чувствительны, счета-фактуры, детали домена рег и т.д. После прочтения этой статьи я http://idcorner.org/2007/08/22/the-problems-with-openid/ немного осторожно об идее использования OpenID таким образом, каков общий консенсус с вами, люди?

Answer 1

Мне кажется, что многие аргументы против OpenID либо сделаны из-за незнания, либо людьми с топором для измельчения.

Например, документ, на который вы ссылаетесь, жалуется, что идентификация себя с помощью URI является «дегуманизирующим и более чем пугающим». Это законная жалоба или что-то написанное кем-то отчаянным, чтобы найти вещи, на которые жаловаться?

Две основные вещи, которые возникают, - это фишинг и скомпрометированные учетные записи, и эти аргументы были перефразированы так много раз, трудно серьезно относиться к кому-то серьезно, если они снова воссоздают их, не создавая новых точек.

Защита от фишинга зависит от поставщика. Некоторые провайдеры предлагают гораздо лучшую безопасность, чем обычные веб-сайты. Некоторые провайдеры просто предлагают типичное имя пользователя и пароль.В любом случае, если учетная запись скомпрометирована, это что-то между пользователем и их провайдером, это не ваша проблема. Вы не беспокоитесь, что у конечного пользователя есть кейлоггер, установленный на их компьютере, не так ли? Это связано с тем, что их местная безопасность не является вашей ответственностью, даже если она может использоваться для доступа к их учетной записи. Аналогично с OpenID - его безопасность не является вашей ответственностью.

Если вы нарушаете OpenID, это дает вам доступ к более чем одному веб-сайту. Конечно, но то же самое верно и для электронной почты. Просто скажите, что вы забыли свой пароль, и вам отправили новый. Теперь у вас есть доступ к каждой учетной записи, зарегистрированной с этим адресом электронной почты.

OpenID не хуже статус-кво, и во многих случаях это значительно лучше, особенно для информированных пользователей. Если вы все еще опасаетесь этого, просто сделайте это необязательным, поэтому только информированные пользователи его используют.

Answer 2

Я бы разрешил регистрацию несколько OpenID с определенной учетной записью. Это хорошая функция, потому что она позволяет пользователям перемещаться между OpenID, если возникнет такая необходимость.

---

При этом ссылка idcorner поднимает хорошую точку. Я думаю, что он массово переполняет проблему безопасности и делает много идиотских предположений о том, как работают поставщики OpenID, но что OpenID действительно не предназначен для замены всех форм аутентификации пользователей. Он разработан для того, чтобы пользователям «проезжать» легко было взаимодействовать с сайтом с некоторой базовой аутентификацией.

• Когда-либо были в чьем-то блоге, вы хотите оставить комментарий, но сначала вам нужно пройти регистрацию на 3 страницы? OpenID решает эту проблему.
• Хотите опубликовать отчет об ошибке на общедоступном трекере, но сначала нужно иметь учетную запись? OpenID на помощь.
• Хотите хранить конфиденциальные конфиденциальные данные в Интернете и предоставлять доступ только тем людям, которым доверяют? OpenID не решение.