Google将电子邮件地址用作其提供商服务的OpenID登录字符串.
我正在阅读一个他们正在努力将其纳入标准的会议.微软反对这一点,"官方"原因是这应该引入的安全漏洞.这是假的吗?如果没有,为什么它不安全?
blo*_*art 21
这与最小的披露概念背道而驰.现在,如果OpenID依赖方想要您的电子邮件地址,他们会要求您提供该服务,并由身份提供商向您发出警告并要求您进行确认.使用电子邮件地址意味着无论您是否喜欢它,除非您使用OpenID 2.0,它可以在每个依赖方的基础上生成唯一值.
对于所有OpenID库来说,这也是一个很大的变化 - URL是可发现的,你知道在哪里可以使用它们,电子邮件地址不是,这就是为什么Google单方面这样做并且有效地分配OpenID标准以适应自己的原因.
另一个问题在于网络钓鱼.OpenID非常容易受到攻击,因为用户信任依赖方在通过提供的OpenID发现它后将其重定向到提供商 - 因此"恶作剧"的依赖方可能会重定向到保存OpenID和密码的网络钓鱼站点.使用Google,OpenID和密码是您的Gmail帐户和密码,因此您不仅失去了对OpenID的控制权,还失去了对您的电子邮件帐户的控制权.当然,这可以由提供商保护 - 您可以拥有单独的电子邮件密码和OpenID密码,您可以在OpenID登录页面上显示每个用户的秘密消息,但我们很清楚用户是愚蠢的.他们不检查浏览器中的URL,他们盲目地在对话框上单击"确定",他们根本不认为网页可能是假的.通过使用电子邮件地址和相同的密码,Google将其大部分用户暴露给不可接受的风险.
使用电子邮件地址的一大危险是它容易被猜测。或者,那些想要破坏您帐户的人可能会知道这一点。
与当前情况相比,您的用户名和 OpenID 提供商可以是任何内容。也许这是可以猜测的,也许不是。如果不是,那么您的帐户就更难被盗用。
有些人似乎对此有问题。看起来很简单。我并没有说过非显而易见的用户名本身就足够安全。离得很远。通过默默无闻获得的安全根本就不是安全。
然而,这是纯粹的常识:
(1) 在最坏的情况下与 (2) 同等安全,而在最好的情况下它更安全。
更重要的是,如果您的电子邮件就是您的密码,那么如果您泄露了某人的电子邮件地址,您可能会泄露使用该用户名作为用户名的每个系统,而通过“忘记密码”更容易受到泄露?链接以及在一个地方使用的密码更有可能在另一个地方使用的事实。
抱歉,但这只是常识。
| 归档时间: |
|
| 查看次数: |
629 次 |
| 最近记录: |