web-dev-qa-db-ja.com

google / facebookなどのサードパーティ認証を使用してサイトにログインしますが、サイトがハッキングされたときにセキュリティ上のリスクはありますか?

Stackoverflow、quoraなどのサイトは、Google/Facebookからサインインします。 データ侵害がある、またはサイトがハッキングされている の場合、Google/Facebookアカウントにセキュリティ上のリスクはありますか?

authenticationoauth2sso
8
rcs

Webサイトがハッキングされた後にアプリケーションキーが漏えいした場合、攻撃者は、標的のサイトに対してユーザーが承認したアクセス許可を操作できます。 Googleドライブの管理をサイトに許可した場合と同様に、彼らはGoogleドライブを表示できるため、Facebookやその他のoauth準拠のWebサイトで同様の悪用を行うことができます。

2
Aayush

それはすべて、Quora、StackExchangeなどのサイトが、GoogleまたはFacebookアカウントを介してユーザーを認証するために使用されるキーをどのように保存するかに依存します。

キーはプレーンテキストまたは Cipher text で保存できます。

次に、Quoraアカウントが侵害されたと考えてみましょう。

キーがプレーンテキストで保存されている場合、攻撃者はQuoraアカウントに問題なく簡単にアクセスでき、Quoraアカウントのパスワードの変更やその他の不正行為に使用される可能性があります。 Facebook/Googleアカウントに同じログインを使用している場合、これらのアカウントも侵害されます。

キーがQuoraによって hashed(encrypted) である場合、攻撃者は OphCrack のようなツールを使用してクラッキングする必要があります(bruteforce)これ Rainbowテーブル 。もし彼/彼女が成功した場合、あなたのグーグル/フェイスブックアカウントは危険にさらされます。

違反を回避するために、以下が推奨事項です。

  • すべてのサイトで認証を受けるために同じパスワードを使用しないでください。
  • 可能な限り常に MultiFactor authentication(MFA) を使用してください。
  • 登録しているサイトのTerms and Conditions and Privacy Policyを読んで、そのサイトでの個人データの処理方法を確認してください
0
nocut