web-dev-qa-db-ja.com

OpenIDプロバイダーがハッキングされた場合の対応計画はどうなりますか?

最近の Gawkerネットワークのハック に疑問が残りました。 Gawkerにアカウントを持っている場合、同じまたは関連するパスワードを使用する他のすべてのIDプロバイダーでパスワードを変更することにより、自分自身を保護します。

OpenID IDプロバイダーがハッキングされた場合、どうすればよいですか?

私はこのアカウントを使用して基本的にどこにでもログインしますが、このアカウントが危険にさらされたときに自分自身をどのように保護するかはまったくわかりません。

5
Pieter Breed

changeingOpenIDプロバイダーを簡単にするには:自分が所有するドメインにデリゲートを設定します。その後、すべてのアカウントを変更する必要はなく、独自のHTMLを変更するだけで済みます。

Stack Overflowブログで OpenIDとして独自のURLを使用 でこれについて説明していますが、 2.0構文 は含まれていません。 myopenid.comの場合 など、バージョン1と2の両方の場合:

<link rel="openid.server openid2.provider"
  href="http://www.myopenid.com/server" />  
<link rel="openid.delegate openid2.local_id" 
  href="http://youraccount.myopenid.com/" />  
<meta http-equiv="X-XRDS-Location"  
  content="http://www.myopenid.com/xrds?username=youraccount.myopenid.com" />

(または、自分で完全に制御し、 独自のOpenIDプロバイダーになります 。)

5
Arjan

これは主に難読化のレイヤー(「不明瞭さによるセキュリティはまったくセキュリティがない」など)ですが、 http://blog.woobling.org/2009/05/your-openid-sucks.html =は、選択したURLを介して独自のOpenID委任をセットアップする方法を示します。これは、実際のOpenIDプロバイダーをクラックする人があなたの資格情報を利用することを妨げるものではありませんが、その場合でも2つの実際の利点を提供します。

1)実際のOpenIDプロバイダーのIDを隠し、侵害されたサービスを使用しているかどうかを攻撃者にわかりにくくします。この隠蔽は容易に侵入されますが、アカウントが影響を受けるかどうかを判断するために通過する必要がある追加のステップであり、バルクエクスプロイトを利用する攻撃者から安全に保ちます。 (他の全員のドアのロックが解除されている場合、些細なロックでさえ泥棒を寄せ付けないでしょう。)それなら、あなたを特に標的にしている攻撃者についてだけ心配する必要があるでしょう。

2)OpenIDプロバイダーがクラックされた場合は、いつでも、できれば侵害されていない別のプロバイダーに委任を簡単に切り替えることができます。これにより、インシデントを知って新しいプロバイダーに変更するまで脆弱性が残りますが、一度変更すると、OpenIDを使用するすべてのサイトにアクセスする必要なく、OpenIDベースのアカウントが再び安全になります。

5
Dave Sherohman

Openidのようなオーセンティケータが危険にさらされたとき、ユーザーはほとんど何もする必要がなかったと思います...ほとんどの人がパスワードを変更し、これらの一般的なオーセンティケータの使用をあきらめるでしょう...

これらの一般的な認証システムでは、2要素認証が問題を解決する可能性が高いと考えられます(つまり、銀行で使用する小さなキーチェーンパスワードジェネレーター)

0
bubu