web-dev-qa-db-ja.com

侵害されたサービスへのアクセスに使用されたGoogleアカウントへの影響

次のシナリオを想定します。

  • クラウドサービスは、ユーザーアカウント情報(ユーザー名とパスワードデータ、たとえばパスワードハッシュ)にアクセスした違反を報告します。
  • 攻撃者はハッシュからパスワードを回復するのに十分なリソースを持っている(最悪の場合の仮定、必ずしも現実的ではない)、またはサービスが十分に弱いハッシュアルゴリズムを使用した(またはパスワードをプレーンテキストで保存した)。
  • アリスはそのサービスのアカウントを持っています。ただし、彼女は自分のGoogleアカウントでログインします。

使用する認証プロトコルの設計者が宿題を行った場合、侵害されたサービスは攻撃者がアリスのアカウントにアクセスすることを可能にするデータを保持せず、アリスはそれに応じてアクションを実行する必要がないと思います。

私の仮定は正しいですか、それとも何か見落としましたか?

authenticationgooglebreach
4
user149408

Googleログインは OpenID Connect を使用するため、Alices資格情報をサービスに公開しません。

Googleは認証プロセスを処理し、これが本当にアリスであるという情報をトークンの形でサービスプロバイダーに渡します。

ただし、アリスが詐欺サービスのフィッシングフォームに彼女のGoogleアカウントのパスワードを入力するようにだまされた場合でも、侵害される可能性があります。

別の質問でしたが、 Jens Erat は関連するプロトコルの優れた 説明 を提供しました。

1
mhr