WS-Fed、MozillaのPersona、またはOpenIDを銀行のアプリケーションで使用する必要がありますか？

銀行はシステムを閉鎖し、ほとんどのOpenIDプロバイダーよりも厳格なセキュリティポリシーを設定する必要があると思います。 Facebook、Gmail、またはその他のプロバイダーを使用して銀行口座にログインすることを想像してみてください。これにより、攻撃対象領域が大幅に増加します。

ほとんどの銀行には、Webバンキングサイト用のハードウェアトークンと、トランザクションを保護するためのその他のセキュリティ機能がいくつかあります。一般的な設定には次のものが含まれます。

• ユーザー名とパスワードを使用した一次認証
• ログイン中の機密性の高い操作ごとに、ハードウェアデバイスによって生成されたトークンが要求されます
• 一定額を超えた取引の詳細が記載されたメッセージがメール/電話に送信されます。

銀行は非常に機密性の高い環境を保護する必要があり、認証をサードパーティに依存することは最善の解決策ではありません。

いつでも監査できる強力なシステムを導入し、セキュリティインシデント（ログメカニズム、異常な動作のアラートなど）にも対処できる必要があります。

銀行がまだ多要素認証を持っていない場合、それらはWebアプリケーションのセキュリティに関して一歩遅れています。

銀行は、サードパーティを使用するのではなく、認証を閉じたままにしておく必要があります。

1. リスクの管理：銀行はリスクを管理する必要があり、サードパーティの認証システムを使用すると、リスクを管理できなくなります。これは、サードパーティのシステムが開発されるにつれて変更される可能性があります
2. これにより、サードパーティの認証システムがさらにターゲットになります。銀行がすべてOpenIDの使用を開始した場合、成功すると多種多様なアカウントにアクセスできるため、すべてのクラッカーがOpenIDをターゲットにします。さまざまな認証システムをたくさん持っていることは、いくつかの点で悪いかもしれませんが、少なくともそれは黒い帽子をかぶったオタクを忙しくさせます。

OpenIDのようなシステムは、（願わくば）信頼できる当事者によって保護された共有資格情報を許可するという観点からは優れていますが、銀行は第三者のシステムを制御できず、ほとんどないため、財務活動に関しては問題があります。リモートプロバイダーが危険にさらされているかどうかを検出する方法。 （100万人のFacebookユーザーが突然ログインし、利用可能な残高全体をランダムなロシアのアカウントに送信するように言い始めた場合は確かですが、問題がある可能性があります。）

最終的に、共有資格情報は一般的に悪い考えです。特に、リスクに対するさまざまなレベルの感度を経験する場合はなおさらです。 OpenIDを使用すると、1つの場所にのみ保存できるため、潜在的な損傷を制限できるため、攻撃対象領域が小さくなり、更新が容易になりますが、それでも1つのキーリングに多くのキーが配置されます。

私は自分のOpenIDサーバーを実行していますが、これらのアカウントはすべて、他の日常のアカウントよりも大幅にセキュリティカテゴリにグループ化されているため、金融取引にOpenIDを使用するかどうかさえわかりません。