1
我与OpenID的问题是,任何人都可以放置一个看起来像雅虎/谷歌的窗体,并指导用户在那里和钢的密码。这会影响我作为用户(虽然我可以小心),但它会影响OpenID提供程序。可以做些什么来防止这种情况?除了教育用户看URL和所有这些。我的意思是一种防止这种情况的技术手段什么可能解决OpenID的安全问题
A
回答
4
此问题被称为Trusted Path并且很少有很好的解决方案。卡平的论文,链接在该维基百科文章包括一个很好的待遇。
3
这实质上归结为钓鱼攻击。除非所涉及的所有认证方之间有相互协议,否则从技术角度来看这并非易事。一些银行现在显示用户选择的图像。实际上,银行试图证明他们是真正的银行(因为他们知道您在注册时选择了什么形象),并且用户正在向银行提供密码以表明他们有权访问该账户。
+1
这个额外的图像没有解决MITM攻击。攻击者仍然可以放置一个钓鱼页面,并将用户的输入转发到真实银行,获取图像并将其回放给用户。 – 2011-06-07 00:53:07
+0
@Mike Samuel - 不,它不是100%安全的(什么?),但它是预防网络钓鱼攻击的一个额外步骤。优势在于,银行可以更容易地确认可疑活动,因为从一台/多台服务器请求尝试检索用户映像的次数很多。当然,如果IP地址是可疑的,则可以通过检查IP所源自的国家以及银行向用户发送电子邮件/发短信来确认IP地址是否可以延长。 – keyboardP 2011-06-07 00:59:23
+0
从技术角度来看,它实际上可以通过使用证书来避免:http://en.wikipedia。org/wiki/Mutual_authentication – 2011-06-07 01:03:10
0
我没有进入openID身份验证协议,但SSL(是要走的路,它)使网站值得信赖,浏览器应该真的开始像谷歌,雅虎,YouTube,Facebook等网站列表使用该技术并拒绝打开网站而不先获得适当的证书。
这是一个解决方案,超出了你的问题的范围,但也解决了它。因为想想这个......如果StackOverflow开始使用SSL,为什么浏览器应该允许连接到它而没有先获得适当的证书呢?理解正确吗?
单一技术,解决了所有问题。
2
我一直喜欢的一个想法(不仅因为它是我的想法),而在于您可以通过永不允许用户拥有自己的密码来解决此问题。该策略是,要登录,用户访问他们想要登录的网站,并请求身份验证令牌。令牌然后通过电子邮件发送给他们,有效一点,他们只需点击链接登录。
但是,这种方法的显而易见的问题是,您的电子邮件不能这样做。所以,它会稍微改变这个问题。但是,如果您通过电子邮件提供商进行身份验证,或者通过客户端证书方式进行身份验证:http://en.wikipedia.org/wiki/Mutual_authentication,并给予其他一些想法(即确保传输登录链接的详细信息不会被拦截等) ,这至少是“有趣”的想法。
但是,一般来说,解决问题的方法是:验证事务的两端;即在发送任何您关心的内容之前,确保您正在与之通话的网站是您想要的网站。
+0
在许多情况下,每个网站的不同令牌会很好,因为您不会相信任何人的“密码”......它就像Twitter或ebay令牌一样;)相互身份验证正在为该聚会带来VPN ......非常贵”。 – TCB13 2011-06-07 01:13:20
+0
@Noon Silk,如果我正确地理解了你,这完全不涉及OpenID。现在,我看到的明显问题是,有人临时访问您的电子邮件可以请求访问令牌。这意味着您必须跟踪访问令牌的请求(就像信用卡账单一样),以便在访问时提示用户。然后,用户每隔一段时间就会查看一次,并检查他未提出的请求。但是,如果用户经常使用网站,很难记住他们是否希望在周六上午11点17分登录,或者那个女朋友是在乱用我的帐户。 – sameold 2011-06-07 01:39:16
+0
@someold:真的,有权访问电子邮件突然变得“非常重要”,但目前这种方式(可以请求密码重置,通常只需要一个电子邮件地址,也可能是其他琐碎的信息)。一旦进入,行动也可以被认证(取决于它是什么,银行转账仅限于授权账户,小额等,银行已经这样做)。 – 2011-06-07 01:43:20
相关问题
- 1. IStructuralEquatable和IStructuralComparable能解决什么问题?
- 2. 如何解决iframe安全问题?
- 3. StringBuilder解决什么问题?
- 4. Maven解决什么问题?
- 5. NHibernate解决什么问题?
- 6. JSF的安全性问题是什么?
- 7. 散居的安全问题是什么?
- 8. StreamReader线程安全问题?可能?
- 9. 未完全执行,为什么我不能解决这个问题
- 10. 解决依赖问题是什么?
- 11. LDAP解决了什么问题?
- 12. Peaberry为Guice解决了什么问题?
- 13. java.lang.NoClassDefFoundError - 为什么?如何解决问题?
- 14. 为什么suhosin.executor.allow_symlink存在安全问题?
- 15. 如何解决这个非托管dll安全访问问题?
- 16. 下面的决策表可能会有什么问题?
- 17. 如何修复SUPEE-9652解决Zend Framework的安全问题
- 18. 解决Python的共享服务器安全问题
- 19. 如何解决Android WebView中Flash的安全沙箱问题
- 20. 如何解决python中的安全问题?
- 21. 代码访问安全性问题 - 这里有什么问题?
- 22. 什么可以解决这个问题(特定于IE)?
- 23. openID有多安全?
- 24. 解决可可中的EXC_BAD_ACCESS问题?
- 25. 使用OpenID与SSL和金融交易的安全问题
- 26. 我的Android安装在Ubuntu 9.04中可能有什么问题
- 27. 如何发布参数来解决安全图像问题
- 28. 编译器优化是否解决了线程安全问题?
- 29. 使用Google App Engine时需要解决哪些安全问题?
- 30. 如何解决这个问题 - 请安装完全本地化能力
网络钓鱼是OpenID不唯一的问题。 – ceejayoz 2011-06-07 00:48:03
@ceejayoz,true,但在OpenID上完成后,其后果是唯一的,OpenID是一种登录方式,适用于所有类型的登录系统。 – sameold 2011-06-07 00:52:20