ওপেন আইডি নিরাপদ?

9

ওপেন আইডি কি সুরক্ষিত, উদাহরণস্বরূপ আপনি এটি ব্যাঙ্ক অ্যাকাউন্টগুলিতে লগ ইন করতে ব্যবহার করতে পারেন?

security  openid 
ড্যানিয়েল
সূত্র
1
হ্যাঁ, 2.0 খুব সুরক্ষিত। এন.ইউইকিপিডিয়া.org / উইকি / ওপেনআইডি পড়ুন "ওপেনআইডিটি নিজস্ব প্রমাণীকরণের নিজস্ব ফর্ম সরবরাহ করে না, তবে কোনও পরিচয় প্রদানকারী যদি শক্তিশালী প্রমাণীকরণ ব্যবহার করে, ওপেনআইডিআইভিং ব্যাঙ্কিং এবং ই-বাণিজ্য হিসাবে সুরক্ষিত লেনদেনের জন্য ব্যবহার করা যেতে পারে।"
ইভান ক্যারল
1
হ্যাঁ, আমি মনে করি আসল প্রশ্নটি ... আপনার ওপেনআইডি সরবরাহকারী নিরাপদ?
আন্দোর

উত্তর:

8

ওপেনআইডিআইডি ওডিআইডি সরবরাহকারীর মতোই সুরক্ষিত (যেমন "যদি কেউ আপনার মাইস্পেস অ্যাকাউন্টে প্রবেশ করে তবে তারা আপনার ওপেনআইডিএড এবং এটি ব্যবহার করে এমন সমস্ত কিছুতে অ্যাক্সেস পেয়েছে")।

ব্যক্তিগতভাবে আমি এটি মূল্যবান কিছু দিয়ে বিশ্বাস করব না। বেশিরভাগ ওপেনআইডি সরবরাহকারীদের কাছে বেশ লম্পট সুরক্ষা ট্র্যাক রেকর্ড রয়েছে।

voretaq7
সূত্র
1
আমি মনে করি আপনি ওপেনআইডির সুবিধাগুলি উপেক্ষা করছেন এবং এগুলি নিছক সুবিধা হিসাবে লিখে রেখেছেন writing
ইভান ক্যারল
3
@ ইভান: ওপেনআইডিটির প্রচুর সুবিধা রয়েছে - আসলে আমি এসও ট্রিলজি সাইটগুলির জন্য ওপেনআইডি ব্যবহার করি। সুবিধাগুলির কোনওটিই তবে আমার সুরক্ষা উদ্বেগকে অস্বীকার করবে না এবং আমি অবশ্যই আমার ওপেনআইডি সরবরাহকারীর
সুরক্ষাকে
2
অবশ্যই তারা করে, কিভাবে আপনার বিবৃতি হ্রাস সম্পর্কে OpenID is as secure as the OpenID providerযাও, X is as secure as the X provider: যে ক্ষেত্রে আপনি সব কিছু জানায় না। যদিও আপনার বক্তব্যটি সত্য, এটি অযৌক্তিক: আমি মনে করি যে ওপেনআইডি স্থাপন এবং বজায় রাখার মতো যথেষ্ট জ্ঞান সম্পন্ন কেউ সম্ভবত যোগ্যতার ভিত্তিতে একটি ব্যাংক হিসাবে যোগ্য হতে পারেন যে একজন প্রযুক্তিগত সমাধান বিক্রি করছে, অন্যটি আর্থিক বিক্রি করছে । হ্যাঁ, আমি গুগল / ইয়াহু / ভেরিশাইনকে আমি ওয়াশিংটন মিউচুয়াল
ইভান ক্যারল
3
@ ইভান - যে কোনও পরিষেবা কেবল সরবরাহকারীর মতোই সুরক্ষিত সংজ্ঞা অনুসারে হয় । আমার ধারনা, ঝাঁপ দাও, একটি মূল্যবান প্রোটোকল যখন তার প্রদানকারীর নিরাপত্তা হিসেবে যথেষ্ট কাঠামোগত গ্যারান্টী অফার করে না হয় আমাকে সমালোচনামূলক প্রমাণীকরণের জন্য এটা বিশ্বাস করতে। আপনি আমার মূল্যায়নের সাথে দ্বিমত পোষণ করতে পারেন তবে আমি যা বলেছি তার পিছনে আমি দাঁড়িয়ে আছি।
voretaq7
3
@ ইভান, আপনি এই বিষয়টির চেয়ে বরং উত্সাহী হওয়া পর্যন্ত মনে করছেন passion সম্ভবত আপনার একটি পদক্ষেপ পিছনে নেওয়া এবং অন্য চেহারা প্রয়োজন another আপনি ওপেনআইডির উপর নির্ভর করে এমন বিষয়টি এটিকে সুরক্ষিত করে না। আমরা এটির উপর অবিশ্বাসের প্রথম ব্যক্তি নই এবং অবশ্যই শেষটি হবে না। সুবিধামত কারণ হিসাবে, এটি প্রশ্নের বিষয় নয়।
জন গার্ডেনিয়ার্স
5

যদিও আমি voretaq7 এর সাথে একমত যে ওপেনআইডিআইডি কেবল ওআইপিআইডি সরবরাহকারীর মতোই সুরক্ষিত, আমাকে বলতে হবে যে ওপেনআইডি সরবরাহকারীর ব্যবহার করার জন্য নির্বাচন করার সময়, আপনি কোনও নামীদামী সরবরাহকারী ব্যবহার করছেন কিনা তা নিশ্চিত করার জন্য অবশ্যই যত্ন নেওয়া উচিত। এই একই ধারণাটি সুরক্ষার সাথে করা সমস্ত কিছুর জন্য প্রযোজ্য। গুগল, এওএল এবং আমি মনে করি এমনকি ভেরিজাইন এখন ওপেনআইডি সরবরাহ করে এবং এই সংস্থাগুলি / সরবরাহকারীদের একটি ভাল ট্র্যাক রেকর্ড রয়েছে।

বাড়ির বিকাশযুক্ত সুরক্ষা বা অন্য কোনও তৃতীয় পক্ষের প্যাকেজের উপর ওপেনআইডিআইর অন্যতম প্রধান সুবিধা হ'ল এটি সুরক্ষার প্রমাণীকরণের দিকটি সংস্থাগুলির হাতে রাখে যেহেতু বেশিরভাগ ছোট সংস্থাগুলির চেয়ে বেশি অভিজ্ঞতা এবং আরও সংস্থান আছে। তাদের সার্ভার এবং ডেটা সুরক্ষিত করার জন্য তাদের আরও ভাল দক্ষতা রয়েছে। একটি ছোট্ট দোকানের কর্মচারী হিসাবে, এই ডেটা সুরক্ষার জন্য প্রয়োজনীয় সার্ভার, ফায়ারওয়ালস ইত্যাদি সঠিকভাবে কনফিগার করার জন্য আমি নিজের চেয়ে গুগলকে অবশ্যই বেশি বিশ্বাস করব।

তবে যে সকল ব্যবহারকারী দুর্বল শংসাপত্রগুলি বেছে নেন - ওপেনআইডিআইডি সবচেয়ে বিপজ্জনক দিকটির জন্য ঠিক ততটাই দুর্বল।

DCNYAM
সূত্র
1
গুগল, ভেরিজাইন ইত্যাদি সম্ভবত "যুক্তিসঙ্গতভাবে নিরাপদ" ওপেনআইডি সরবরাহ করছে তবে যে কেউ ওপেনআইডি সরবরাহকারী হতে পারে এবং ওপেনআইডি-র পুরো ধারণাটি (যেমন আমি এটি বুঝতে পেরেছি) কোনও সরবরাহকারীর কাছ থেকে একটি বৈধ ওপেনআইডি গ্রহণ করা যাতে লোকেরা না থাকে বিভিন্ন অ্যাকাউন্ট একগুচ্ছ সেট আপ করতে। যে কোনও ব্যক্তি অনিরাপদ ওপেনআইডি সরবরাহকারী (বা abc123
সুরক্ষিত
2
এটি প্রদর্শিত হবে যে আশেপাশের একমাত্র বিপজ্জনক ব্যক্তি ব্যবহারকারী। পাসওয়ার্ডটি কী তা নির্বাচন করে যদি তারা ওপেনআইডি এবং কারটি হওয়া উচিত They তাদের নিজেদের থেকে রক্ষা করা আমাদের দায়িত্ব হওয়া উচিত?
ক্রিস
2
আপনি যদি এমন কোনও পরিষেবা চালাচ্ছেন যা প্রমাণীকরণের জন্য ওপেনআইডিএস গ্রহণ করে আপনি সহজেই কালো তালিকাভুক্ত করতে পারবেন অবিশ্বাস্য সরবরাহকারী, বা সাদা-তালিকা পরিচিত ভাল সরবরাহকারী known এইভাবে আপনি এমন সরবরাহকারীদের এড়াতে পারবেন যা ব্যবহারকারীকে একটি সুরক্ষিত পাসওয়ার্ড সেট করতে দেয়।
গাথ্রন
1
@ ক্রিস: যতক্ষণ না কোনও অ্যাকাউন্ট আপোস করা হয়, ততক্ষণ আমাদের দোষের ঝড়ের সামনে দাঁড়াতে হবে, হ্যাঁ - কমপক্ষে আংশিকভাবে। (এজন্য কিছু সাইটের পাসওয়ার্ড নীতি যেমন "> = 8 টি অক্ষর, বর্ণানুক্রমিক + কমপক্ষে 1 টি বিশেষ অক্ষর" থাকে)।
voretaq7
@ ভোরেটাক 7: যে কেউ ব্যাংক হতে পারে।
ইভান ক্যারল
5

ওপেনআইডিআইডি একটি তৃতীয় পক্ষের কাছে প্রমাণীকরণ প্রেরণের একটি উপায়। ব্যাংকিংয়ের মতো একটি উচ্চ আস্থার অ্যাপ্লিকেশনটির জন্য, আপনি যার কাছে প্রমাণীকরণ প্রেরণ করেছেন এটি একটি বড়, বড় সুরক্ষা সিদ্ধান্ত। ওপেনআইডি প্রোটোকলটি যে কোনও স্ট্যান্ডার্ডের পক্ষে যথেষ্ট যা উভয়ই একক-ফ্যাক্টর প্রমাণীকরণের অনুমতি দেয় (ওপেনআইডি লেখক-টোকেন) অথবা এমন একটি সিস্টেমে প্রেরণযোগ্য প্রমাণীকরণের পর্যাপ্ত প্রমাণীকরণের সুরক্ষা রয়েছে।

পরবর্তী প্রশ্ন: কোনও বর্তমান ওপেনআইডি সরবরাহকারীরা কি অনলাইন ব্যাংকিংয়ের জন্য যথেষ্ট নিরাপদ?

এটি একটি পৃথক প্রশ্ন এবং সম্ভবত এখনই নেতিবাচক। তবে, কিছু বলার অপেক্ষা রাখে না (প্রযুক্তিগত), আমেরিকান ব্যাংকগুলির একটি কনসোর্টিয়াম একটি একক ব্যাংকিং ওপেনআইডি সরবরাহকারী তৈরি করার জন্য সম্পদ সরবরাহ করছে যা একটি বর্ণিত মান অনুসরণ করে এবং নিরীক্ষণ করা হয়। সেই ওপেনআইডি সরবরাহকারী যা প্রয়োজন তার প্রমাণীকরণ পদ্ধতিগুলি ব্যবহার করতে পারে, সে সাইটকি, সিকিওরআইডি, স্মার্ট কার্ড সোয়াইপ, বা অন্য যে কোনও দাবি। আমি বড় বাণিজ্যিক ব্যাংকগুলির পক্ষে এই সম্ভাবনাটিকে অসম্ভব বলে বিবেচনা করি, তবে ক্রেডিট ইউনিয়ন সম্প্রদায় কেবল এটি চেষ্টা করে।

sysadmin1138
সূত্র
1
আমি ভেরিজাইন পিআইপি এবং সম্ভবত মাইওপেনআইডি ব্যাঙ্কিংয়ের জন্য যথেষ্ট নিরাপদ বিবেচনা করব।
user1686
2

আপনি যে সাইটটিতে লগ ইন করার চেষ্টা করছেন সেটি ওপেনআইডি (1) এর চেয়ে দুর্বলতম হিসাবে নিরাপদ; (২) আপনার ওপেনআইডি সরবরাহকারী; বা (3) ডিএনএস সিস্টেম।

প্রস্তাবনা:

  • আপনার ব্যাংকের প্রস্তাবিত সুরক্ষা / লগইন সিস্টেমটি ব্যবহার করুন, এবং পরিষেবার শর্তাদি এবং শর্তাদি বুঝতে পারেন যাতে আপনার অ্যাকাউন্টটি আপস করা থাকলে আপনি আপনার অধিকারগুলি জানতে পারেন।
  • আপনার ব্যাংককে ওপেনআইডিটি গ্রহণ করতে উত্সাহিত করবেন না, কারণ এটি তাদের পরিষেবার সুরক্ষা হ্রাস করবে।

দুর্বলতা:

এই বাস্তবতার তাত্ক্ষণিক পরিণতি হ'ল আপনি যে সাইটে লগ ইন করার চেষ্টা করছেন সে হিসাবে ওপেনআইডিডি সর্বোত্তম সুরক্ষিত হতে পারে; এটি আর বেশি সুরক্ষিত হতে পারে না ।

ওপআইডিআইডি প্রোটোকল পুনর্নির্দেশটি আপনার সরবরাহকারীর কাছে আপনি লগইন করছেন এমন সাইটের নিয়ন্ত্রণে রয়েছে, যা তুচ্ছ ফিশিং এবং ম্যান-ইন-মধ্য-আক্রমণের দিকে পরিচালিত করে। এই ধরনের আক্রমণগুলি একটি প্রতিকূল সাইটকে আপনাকে না জেনে আপনার ওপেনআইডি শংসাপত্রগুলি চুরি করতে দেয় , যা তারা পরে আপনার হিসাবে অন্য কোনও ওপেনআইডি-সক্ষম সাইটে লগ ইন করতে ব্যবহার করতে পারে।

ডিএনএস আক্রমণ আরও জটিল, তবে কোনও আক্রমণকারী আপনার ব্যাঙ্ককে বোঝাতে অনুমতি দেবে যে সে আপনার ওপেনআইডি সরবরাহকারী। আক্রমণকারী আপনার ওপেনআইডি ব্যবহার করে লগ ইন করে এবং তার নকল সরবরাহকারীটিকে ব্যাংকে অনুমোদন দেয়। এই ক্ষেত্রে আক্রমণকারীটির আপনাকে ফিশ করতে বা আপনার পাসওয়ার্ড শিখতে বা আপনার কম্পিউটারে কিছু ইনস্টল করার প্রয়োজন নেই - তার যা দরকার তা হ'ল আপনার ওপেনআইডি।

একইভাবে আপনার ওপেনআইডি সরবরাহকারীর উপর আক্রমণ আক্রমণকারীটিকে আপনার পাসওয়ার্ড না জেনে কোনও ওপেনআইডি-সক্ষমিত সাইটে আপনি হিসাবে লগ ইন করতে দেয়।

Http://www.untrusted.ca/cache/openid.html এ ওপেনআইডি দুর্বলতা এবং আক্রমণ সম্পর্কিত আরও তথ্য ।

Twylite
সূত্র
1

ওপেনআইডি একটি প্রোটোকল। প্রোটোকলটি খুব সুরক্ষিত, তবে ব্যাকএন্ড-প্রমাণীকরণ পদ্ধতিটি হওয়া দরকার নেই। আপনি একটি ওপেনআইডি পোর্টাল পরিচালনা করতে পারেন যা কোনও ডস বক্স থেকে বাংলাদেশে টেলনেট থেকে কোনও ব্যবহারকারীকে বৈধতা দেবে।

এটি কি ব্যাংকিংয়ের জন্য যথেষ্ট নিরাপদ? হ্যাঁ. আসলে আমি চাই সমস্ত ব্যাংক সরবরাহকারীরা এটির অনুমতি দেবে। উপরন্তু, যদি আপনি বিশ্বাস ব্যাংকিং প্রদানকারীর অন্যান্য প্রযুক্তি প্রদানকারীর চেয়ে বেশি চাই - এটি চমৎকার হবে না যদি তারা হবে প্রদান কি?

ইভান ক্যারল
সূত্র
1
কোনও ব্যাঙ্ক আপনার অর্থের ভার অর্পণ করার কারণে, এটি কি তাদের ডিজিটাল পরিচয়গুলি হ্যান্ডেল করার যোগ্য করে তোলে?
ক্রিস
1
@ ক্রিস: না, তা হয় না। তবে এটি এই থ্রেডের প্রবণতা বলে মনে হচ্ছে। আমি বরং ব্যাঙ্কগুলিকে অর্থ পরিচালনা করার জন্য আঁকড়ে থাকি এবং আমার প্রমাণীকরণটি পরিচালনা করার জন্য গুগল ব্যবহার করি। মূল বিষয় হচ্ছে, আপনি বা ব্যাংক বা ব্যাংক ব্যতীত অন্য কারও উপর নির্ভর করেন তা বিবেচ্য নয়: প্রতিটি ব্যাংক যদি ওপেনিড সরবরাহকারী এবং গ্রাহক হয় তবে আপনি তাদের প্রমাণীকরণ গুগলে, বা গুগলে ব্যাঙ্কে ব্যবহার করতে পারতেন - ওপেনআইডি তাদের যোগাযোগের অনুমতি প্রোটোকল।
ইভান ক্যারল
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.