Google अपनी प्रदाता सेवा के लिए ओपनआईडी लॉगिन स्ट्रिंग के रूप में ईमेल पते का उपयोग करता है।ओपनआईडी के रूप में ईमेल पते का उपयोग करना खतरनाक क्यों है?
मैं एक सम्मेलन के बारे में पढ़ रहा था जहां वे इसे मानक में शामिल करने के लिए दबाव डाल रहे थे। माइक्रोसॉफ्ट इसके खिलाफ था, "आधिकारिक" कारण सुरक्षा भेद्यता होने का कारण यह माना जाएगा। क्या यह फर्जी है? यदि नहीं, तो यह असुरक्षित क्यों है?
ईमेल पते का उपयोग करने का एक खतरा यह है कि यह अनुमान लगाया जा सकता है। या किसी ऐसे व्यक्ति के बजाय जो आपका खाता तोड़ना चाहता है, शायद उसे पता चलेगा।
वर्तमान स्थिति की तुलना करें जहां आपका उपयोगकर्ता नाम और आपका ओपनआईडी प्रदाता कुछ भी हो सकता है। शायद यह अनुमान लगाया जा सकता है, शायद यह नहीं है। यदि ऐसा नहीं है तो यह आपके खाते से समझौता करने के लिए थोड़ा मुश्किल बनाता है।
कुछ लोगों को इसके साथ कोई समस्या है। देखो यह बहुत आसान है। मैंने यह नहीं कहा है कि एक गैर-स्पष्ट उपयोगकर्ता नाम पर्याप्त सुरक्षा में है। इससे दूर। अस्पष्टता के माध्यम से सुरक्षा बिल्कुल कोई सुरक्षा नहीं है।
हालांकि, यह शुद्ध commonsense है कि बाहर की:
कि (1) सबसे खराब, समान रूप से सुरक्षित (2) है और सबसे अच्छा यह अधिक सुरक्षित है।
यदि आपका ईमेल आपका पासवर्ड है तो और क्या होगा यदि आप किसी के ईमेल पते से समझौता करते हैं तो आप संभावित रूप से उपयोगकर्ता नाम के रूप में उपयोग की जाने वाली हर प्रणाली से समझौता कर सकते हैं, "पासवर्ड भूल जाएं" के आधार पर दोनों आसानी से समझौता किया जाता है। लिंक और तथ्य यह है कि एक स्थान पर इस्तेमाल किया जाने वाला पासवर्ड दूसरे में उपयोग होने की अधिक संभावना है।
क्षमा करें, लेकिन यह सिर्फ कॉमन्सेंस है।
यह न्यूनतम प्रकटीकरण अवधारणा के खिलाफ चला जाता है। अभी अगर एक ओपनआईडी भरोसेमंद पार्टी आपका ईमेल पता चाहता है तो वे इसके लिए पूछें और आपको पहचान प्रदाता द्वारा इसके बारे में चेतावनी दी जाती है और इसकी पुष्टि करने के लिए कहा जाता है। ईमेल पते का उपयोग करना मतलब है कि यह तब तक जाता है जब तक आप इसे पसंद नहीं करते हैं या नहीं जब तक आप OpenID 2.0 का उपयोग नहीं कर रहे हैं जो प्रति निर्भर पार्टी आधार पर अद्वितीय मान उत्पन्न कर सकता है।
यह सभी ओपनआईडी पुस्तकालयों के लिए भी एक बड़ा बदलाव होगा - यूआरएल खोजने योग्य हैं, आप जानते हैं कि उनके साथ कहां जाना है, ईमेल पते नहीं हैं, यही कारण है कि Google पर एकतरफा रूप से ऐसा करना और ओपनआईडी को प्रभावी ढंग से मजबूर करना अपने आप को फिट करने के लिए मानक।
दूसरी समस्या फ़िशिंग में निहित है। ओपनआईडी इसके लिए बहुत कमजोर है क्योंकि उपयोगकर्ता भरोसेमंद पार्टी को ओपनआईडी के माध्यम से इसे खोजने के बाद उन्हें अपने प्रदाता को रीडायरेक्ट करने के लिए भरोसा करते हैं - इसलिए एक "शरारती" भरोसेमंद पार्टी एक फ़िशिंग साइट पर रीडायरेक्ट कर सकती है जो ओपनआईडी और पासवर्ड को सहेजती है। Google के साथ ओपनआईडी और पासवर्ड आपका जीमेल खाता और पासवर्ड है, इसलिए आपने न केवल अपने ओपनआईडी पर नियंत्रण खो दिया है बल्कि आपका ईमेल खाता भी खोला है। बेशक यह प्रदाता द्वारा सुरक्षित किया जा सकता है - आपके पास अलग-अलग ईमेल पासवर्ड और ओपनआईडी पासवर्ड हो सकते हैं, आप ओपनआईडी लॉगिन पेज पर प्रति उपयोगकर्ता आधार पर एक गुप्त संदेश प्राप्त कर सकते हैं, लेकिन जैसा कि हम अच्छी तरह से जानते हैं कि उपयोगकर्ता बेवकूफ हैं। वे ब्राउज़र में यूआरएल की जांच नहीं करते हैं, वे अंधेरे से संवाद बॉक्स पर क्लिक करते हैं, वे बस नहीं सोचते कि एक वेब पेज नकली हो सकता है। ईमेल पता और एक ही पासवर्ड का उपयोग करके Google अपने अधिकांश उपयोगकर्ताओं को अस्वीकार्य जोखिम में उजागर कर रहा है।
+1, जब वे वास्तव में प्रोटोकॉल (प्रतिनिधिमंडल को छोड़कर) का पालन कर रहे हैं तो Google को फॉरकिंग ओपनआईडी 2.0 पर आरोप लगाने के लिए। –
हालांकि Google प्रारंभिक कार्यान्वयन एक कांटा नहीं था? उनके पास सिर्फ उनके लिए अतिरिक्त खोज कदम था जहां आपको एंडपॉइंट प्राप्त करने के लिए Google से बात करनी पड़ी? – blowdart
तो क्या अनुमान लगाया जा सकता है? आपको अभी भी पासवर्ड चाहिए। क्या आप वर्णन नहीं कर रहे हैं [अस्पष्टता के माध्यम से सुरक्षा] (http://en.wikipedia.org/wiki/special:search/security_through_obscurity)? – Joe
@ जो: बिल्कुल। यदि आपकी सुरक्षा आपके उपयोगकर्ता नाम का आकलन नहीं करने वाले लोगों पर * थोड़ा * निर्भर करती है, तो आप इसे सही नहीं कर रहे हैं। कम से कम प्रकटीकरण समस्या -1 की पहचान करने के लिए – skaffman