क्या मुझे अपने डेटाबेस में ओपनआईडी को एन्क्रिप्ट करना चाहिए?

Question

मैं ओपनआईडी को डेटाबेस में संग्रहीत कर रहा हूं ताकि मैं उपयोगकर्ताओं को बहुत जल्दी लॉग इन कर सकूं। क्या मुझे अपने डेटाबेस में एन्क्रिप्ट करना चाहिए?

एक वैकल्पिक प्रश्न होगा, क्या उन्हें 'संवेदनशील' जानकारी माना जाता है?

Answer 1

दूसरे उत्तर के विपरीत: नहीं। ऐसा करने में कोई बात नहीं है।

किसी खाते तक पहुंच प्राप्त करने के लिए, पहले को ओपी के साथ प्रमाणित करना होगा। पहचानकर्ता (और केवल यही) जानकर किसी के खाते में किसी तरह से तोड़ने का कोई तरीका नहीं है।

डिज़ाइन द्वारा ओपनआईडी प्रोटोकॉल, उपयोगकर्ताओं को अपने अतिरिक्त पहचानकर्ताओं (जैसे उनके मुखपृष्ठ) में थोड़ा अतिरिक्त जोखिम के साथ अपने पहचानकर्ताओं को रखने की अनुमति देता है। यदि पहचानकर्ता 'संवेदनशील' जानकारी के लिए थे, तो ओपनआईडी को प्रतिनिधि बनाना संभव नहीं होगा।

यदि आपके डेटाबेस से समझौता किया गया है तो यह संकेत होगा कि हमलावर के पास सभी पहचानों तक पहुंच होगी, ओपनआईडी वास्तव में असुरक्षित होगी (और यह नहीं है)।

ओपनआईडी पहचानकर्ता केवल एक प्रदाता पर इंगित करने वाला यूआरएल है। इस जानकारी से, आप उपयोगकर्ता के होने का दावा करने के लिए और कुछ भी अनुमानित नहीं कर सकते हैं (और निर्देशित पहचान के मामले में, यहां तक ​​कि नहीं)।

आप खुद से पूछ सकते हैं: "क्या मुझे लॉग इन एन्क्रिप्ट करना चाहिए?" यदि आपका उत्तर सत्य है - पहचानकर्ताओं को एन्क्रिप्ट करें, क्योंकि वे अलग नहीं हैं। यदि यह गलत है, तो परेशान न करें।