Quel sera le plan de réponse si votre fournisseur OpenID est piraté?
La récente piratage du réseau Gawker a laissé une question dans mon esprit. Si j'avais un compte chez Gawker, je me protégerais en modifiant mes mots de passe chez tous les autres fournisseurs d'identité où j'utilise le même mot de passe ou un mot de passe associé.
Que dois-je faire lorsque mon fournisseur d'identifiant OpenID est piraté?
J'utilise ce compte pour me connecter pratiquement partout et je ne suis pas du tout sûr de ce que je ferais pour me protéger lorsque ce compte est compromis.
Pour changer les fournisseurs OpenID facilement: configurez un délégué sur un domaine que vous possédez. Vous n'êtes alors pas obligé de modifier tous vos comptes, il vous suffit de modifier votre propre code HTML.
Sur le blog Stack Overflow, tiliser votre propre URL comme OpenID décrit ceci, mais n'inclut pas la syntaxe 2. . Comme pour myopenid.com , pour les versions 1 et 2:
<link rel="openid.server openid2.provider"
href="http://www.myopenid.com/server" />
<link rel="openid.delegate openid2.local_id"
href="http://youraccount.myopenid.com/" />
<meta http-equiv="X-XRDS-Location"
content="http://www.myopenid.com/xrds?username=youraccount.myopenid.com" />
(Vous pouvez également prendre le contrôle intégral vous-même et devenir votre propre fournisseur OpenID .)
Bien que ce soit avant tout une couche d'obscurcissement ("la sécurité par l'obscurité n'est pas une sécurité du tout", etc.), http://blog.woobling.org/2009/05/your-openid-sucks.html = vous indique comment configurer simplement votre propre délégation OpenID via une URL de votre choix. Bien que cela n'empêche pas quelqu'un qui craque votre fournisseur OpenID actuel d'utiliser vos informations d'identification, cela fournit néanmoins deux avantages réels dans ce cas:
1) Il masque l'identité de votre fournisseur OpenID actuel, ce qui le rend moins évident pour un attaquant, que vous utilisiez le service compromis ou non. Bien que cette dissimulation soit facilement pénétrée, il leur faudra franchir une étape supplémentaire pour déterminer si votre compte est affecté, ce qui vous gardera à l'abri des attaquants utilisant des exploits en bloc. (Si la porte de chacun est déverrouillée, même un verrou trivial tiendra les voleurs à distance.) Vous devrez alors uniquement vous inquiéter des attaquants qui vous ciblent spécifiquement.
2) Si votre fournisseur OpenID est fissuré, vous pouvez à tout moment basculer votre délégation vers un fournisseur différent qui, espérons-le, n'a pas été compromis. Cela vous laisse toujours vulnérable jusqu'à ce que vous ayez connaissance de l'incident et du changement de fournisseur, mais une fois que vous l'avez changé, vos comptes OpenID seront à nouveau sécurisés sans avoir à visiter tous les sites avec lesquels vous utilisez OpenID.
Je pense que l'utilisateur n'a pas grand-chose à faire lorsque des authentifiants comme openid sont compromis ... il est probable que les gens changeraient de mot de passe et cesseraient d'utiliser ces authentifiants communs ...
je pense que pour ces authentifiants communs, une authentification à deux facteurs résoudrait probablement le problème (c'est-à-dire les petits générateurs de mot de passe de trousseau que vous utilisez pour la banque).