Комментарии 9
Вряд ли OpenID кто-то будет использовать для управления своим банковским счётом и т.п. Эта технолгия (будет) актуальна только для блогов, форумов и т.п.
Пишу я дневник, например, на том же самом ЖЖ. Используя предоставляемый им OpenID, я оставляю комменты и сообщения в ещё, допустим, десяти системах. Ну потеряю я по той или иной причине свой основной логин - что такого страшного случится? Не смогу отредактировать сообщение годовалой давности на каком-то форуме? Или ссылка там будет мёртвая? Ну так она и при традиционном подходе будет на тот же ЖЖ указывать.
А учитывая практику давать на схожих сервисах однотипные пароли, OpenID лишь добавляет безопасности - пароль знает только одна система, а не десяток.
Пишу я дневник, например, на том же самом ЖЖ. Используя предоставляемый им OpenID, я оставляю комменты и сообщения в ещё, допустим, десяти системах. Ну потеряю я по той или иной причине свой основной логин - что такого страшного случится? Не смогу отредактировать сообщение годовалой давности на каком-то форуме? Или ссылка там будет мёртвая? Ну так она и при традиционном подходе будет на тот же ЖЖ указывать.
А учитывая практику давать на схожих сервисах однотипные пароли, OpenID лишь добавляет безопасности - пароль знает только одна система, а не десяток.
OpenID не проектировался для критичных данных. Все критичные аккаунты обязаны использовать для авторизации криптографию - единственное, что дает хоть какую-то гарантию безопасности.
OpenID - система аутентификации скорее для web2.0 проектов, и призвана объединить в одно профили на разных ресурсах.
Кроме того, вы не забывайте, что защитить один сервер OpenID проще, чем кучу разнородных ресурсов. По аналогии с центрами сертификации можно построить достаточно защищенный провайдер OpenID.
OpenID - система аутентификации скорее для web2.0 проектов, и призвана объединить в одно профили на разных ресурсах.
Кроме того, вы не забывайте, что защитить один сервер OpenID проще, чем кучу разнородных ресурсов. По аналогии с центрами сертификации можно построить достаточно защищенный провайдер OpenID.
Центры сертификации выдают сертификаты сайтам, а не пользователям.
Пользователей сайтов на несколько порядков больше.
Да, где у OpenID технология отзыва идентификатора? Я честно буду рад, если она есть.
Мне больше по душе аналогия с центрами обработки крупных кредитных компаний. Очень защищённые. Слив если и случается то сразу являет собой цифру с 7 нулями. Но не будем - оффтоп.
Пользователей сайтов на несколько порядков больше.
Да, где у OpenID технология отзыва идентификатора? Я честно буду рад, если она есть.
Мне больше по душе аналогия с центрами обработки крупных кредитных компаний. Очень защищённые. Слив если и случается то сразу являет собой цифру с 7 нулями. Но не будем - оффтоп.
Я имею в виду как раз персональные сертификаты для, например, электронной подписи. Их выдают в том числе и СЦ, правда обычно за деньги.
Технологии отзыва для OpenID не существует и быть в принципе не может, тк провайдеры никак не сверяют личность владельца ID, и после его утери, невозможно ничего доказать.
Технологии отзыва для OpenID не существует и быть в принципе не может, тк провайдеры никак не сверяют личность владельца ID, и после его утери, невозможно ничего доказать.
Спасибо, я ожидал это увидеть :)
Технология отзыва идентификатора OpenID ничем не отличается от технологии отзыва обычного идентификатора, например, если кто-то заполучил ваш логин в банковскую систему.
Вы звоните (приходите) в банк и отзываете ваш логин. А уж как он авторизуется, паролём или OpenID провайдером, разницы никакой нет.
Кроме того, технологии отзыва OpenID и у провайдеров запросто могут существовать, и опять же ничем не отличаться от технологий отзыва всего прочего. Будут провайдеры, которые будут сверять личность, например. Или задавать три контрольных вопроса в голову, наподобии девичьей фамилии первой учительницы вашей собачки, и при несовпадении блокировать до выяснения.
Вы звоните (приходите) в банк и отзываете ваш логин. А уж как он авторизуется, паролём или OpenID провайдером, разницы никакой нет.
Кроме того, технологии отзыва OpenID и у провайдеров запросто могут существовать, и опять же ничем не отличаться от технологий отзыва всего прочего. Будут провайдеры, которые будут сверять личность, например. Или задавать три контрольных вопроса в голову, наподобии девичьей фамилии первой учительницы вашей собачки, и при несовпадении блокировать до выяснения.
Господа, а где я написал про критические данные и управление банковским счётом?
Я писал про те же форумы да блоги, давайте не будем мешать всё в кучу, пожалуйста.
Я писал про те же форумы да блоги, давайте не будем мешать всё в кучу, пожалуйста.
Если пользователь использует один пароль на все сайты, то OpenID в некотором смысле только увеличивает безопасность, как уже заметили выше.
Если используется сравнительно много разных и сравнительно сложных паролей, то так или иначе их приходится как-то хранить. Причём обычный открытый текстовый файл потенциально значительно более уязвим, нежели менеджер с мастер-паролем.
Кроме того, очень немногие используют специализированные программы для хранения паролей с целью повышения безопасности. В абсолютном большинстве случаев, как мне представляется, это исключительно вопрос удобства. OpenID также создан в первую очередь для удобства. Причём пользователи запросто будут хранить свой пароль от OpenID-сервера в менеджере паролей браузера без всякого мастер-пароля.
Если используется сравнительно много разных и сравнительно сложных паролей, то так или иначе их приходится как-то хранить. Причём обычный открытый текстовый файл потенциально значительно более уязвим, нежели менеджер с мастер-паролем.
Кроме того, очень немногие используют специализированные программы для хранения паролей с целью повышения безопасности. В абсолютном большинстве случаев, как мне представляется, это исключительно вопрос удобства. OpenID также создан в первую очередь для удобства. Причём пользователи запросто будут хранить свой пароль от OpenID-сервера в менеджере паролей браузера без всякого мастер-пароля.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Критические размышления о технологии OpenID.