ওপেনআইডি কি হ্যাক করা সহজ বা আমি কিছু মিস করছি?

18

ওপলআইডি সরবরাহকারী (ওপি) ব্যবহারকারীকে নির্দিষ্ট করার অনুমতি দেয় এমন নির্ভরযোগ্য দলগুলির (আরপি) জন্য, আমার যে কেউ আপনার ওপিআইডি জানে বা অনুমান করতে পারে তার চেয়ে আমার কাছে মনে হয়

  1. তাদের নিজস্ব ওপি ঠিকানা লিখুন।
  2. এটি আপনার ওপেনআইডিপির মালিক হিসাবে বৈধতা দিন Have
  3. আরপিতে আপনার অ্যাকাউন্টটি অ্যাক্সেস করুন।

আরপি "ওপেনআইডিটিকে মূল ওপি দ্বারা বৈধতা দেওয়ার অনুমতি দিয়ে" এটি প্রতিরোধের ব্যবস্থা নিতে পারে "তবে ...

  1. তারা কীভাবে জানবে?
  2. আপনি নিজের ওপেনআইডি পরিবর্তন না করে কখনও আপনার ওপি পরিবর্তন করতে পারবেন না।
security  authentication  openid 
ডেভিড
সূত্র

উত্তর:

7

ওপেনআইডিডি হ'ল সেই সিস্টেমগুলির মধ্যে একটি যেখানে আপনাকে শেষ পয়েন্টগুলিতে বিশ্বাস করতে হবে। যদি আরপি বিশ্বাসযোগ্য না হয়, তবে এই ধরণের সমিতি বিষক্রিয়া সম্পূর্ণরূপে সম্ভব। আরপি যদি সত্যই বিশ্বাসযোগ্য হয়, তবে এই ধরণের আক্রমণ বেশি শক্ত। এই আক্রমণের ঝুঁকিপূর্ণ না হওয়ার জন্য 'আশপাশের কাজ' হ'ল বিদেশী ওপেনআইডিআইডি পয়েন্ট (ওপেনআইডি ইউআরএল, সার্ভারফল্ট আপনাকে বহুগুণ যুক্ত করার অনুমতি দেয়) স্থানীয় সুরক্ষা নীতিটি (সার্ভারফল্টে এটি আপনার পিছনের প্রান্তের ডাটাবেসে আপনার ব্যবহারকারীর প্রতিনিধিত্ব হবে) এদের মধ্যে).

আপনি আরপি'র পক্ষ থেকে ডিএনএসের বিষক্রিয়া আক্রমণের মাধ্যমে আক্রমণ করতে পারেন, যেমন, * * লাইভজার্নাল ডটকমকে এমন একটি ওপিতে পুনঃনির্দেশিত করা হয় যা আপনি আক্রমণটির জন্য বিশেষভাবে তৈরি করেছিলেন। তবে এটি একটি ডিএনএসের বিষক্রিয়া আক্রমণ, ওপেনআইডি-তে কোনও দোষ নয়। ওপেনআইডি ডিএনএস পোজিশনিংয়ের জন্য কেবল দুর্বল।

sysadmin1138
সূত্র
এই ক্ষেত্রে একটি বিশ্বাসযোগ্য আরপি অবিশ্বস্ত হয়ে উঠতে পারে কারণ তারা ধরে নেয় যে ওপেনআইডি এবং নিজেই সুরক্ষিত।
ডেভিড
এটি পড়ার পরে আমি ওপেনআইডিএনে নিজেকে খুঁজে পেয়েছি এবং আমি প্রথম যে জিনিসটি দেখেছি তা হ'ল দ্য ফাউন্ডেশন অফ ইন্টারনেট আইডেন্টিটি "জেন্ডা খেলে তিন হাতের স্টক ফটোটির পটভূমিতে - প্রত্যেকটি একটি খুব অস্থির থেকে টুকরো টানছিল- টাওয়ার খুঁজছেন।
Andreas
2

আমি মনে করি আপনি ওপেনআইডি এবং ব্যবহারকারী সুরক্ষার অন্যান্য অংশগুলি বিভ্রান্ত করছেন। আপনার ওপি প্রমাণীকরণ প্রক্রিয়া, আপনার অ্যাকাউন্ট নয়। সার্ভারফল্টে এখানে আপনার একটি অ্যাকাউন্ট রয়েছে। এই অ্যাকাউন্টটির নিজের দ্বারা প্রমাণীকরণের কোনও উপায় নেই; আপনি এটিকে এক বা একাধিক অপারেটিং সিস্টেমের দিকে নির্দেশ না করুন।

আপনি এখানে এসএফ হিসাবে আপনার অ্যাকাউন্টে লগইন করার চেষ্টা করার পরে এটি আপনার ওপিকে প্রমাণীকরণ হ্যান্ডেল করতে বলে। কেবলমাত্র একটি ওপি (বা একাধিক অপস, তবে এটির সেটআপ রয়েছে) আপনার এসএফ অ্যাকাউন্টের উদ্দেশ্যে আপনাকে প্রমাণীকরণ করতে পারে।

একটি সাধারণ লগইন সিস্টেমে তিনটি অংশ রয়েছে (যাকে ট্রিপল "এ" বা কেবল "এএএ" বলা হয়):

  • অ্যাকাউন্টিং - আপনার নাম এবং সাইটের নির্দিষ্ট তথ্যের উপর নজর রাখে (যেমন পোস্ট, বার্তা ইত্যাদি)
  • প্রমাণীকরণ - এটি সত্যই আপনিই (সাধারণভাবে একটি পাসওয়ার্ড) কীভাবে তা নিশ্চিত করা যায় তার উপর নজর রাখে
  • অনুমোদন - আপনার অনুমতিগুলির কিপগুলি ট্র্যাক করুন (বিভিন্ন বিষয়ে অ্যাক্সেস পড়ুন বা লিখুন)

আপনি উইকিপিডিয়ায় এএএ সিস্টেমগুলি সম্পর্কে আরও পড়তে পারেন ।

ক্রিস এস
সূত্র
যদি আমি লগ ইন করি প্রতিবার যদি আমাকে কোনও ওপি নির্দিষ্ট করার অনুমতি দেওয়া হয় তবে আমার অ্যাকাউন্ট হ্যাক করার চেষ্টা করার সময় দূষিত ব্যবহারকারী কোনও ওপিও নির্দিষ্ট করতে পারে। এইভাবে তারা তাদের নিজস্ব ওপি নির্দিষ্ট করে এবং অ্যাক্সেস অর্জন করে।
ডেভিড
না, আপনি কেবল একবার লগ ইন করে তাদের অ্যাকাউন্টের জন্য অতিরিক্ত ওপেনআইডি পয়েন্ট যুক্ত করার অনুমতি দিয়েছিলেন। সুতরাং এটি এইভাবে না।
ceejayoz
2
@ ডেভিড, আপনি লগইন করার সময় আপনি কোনও অ্যাকাউন্ট এবং একটি ওপেনআইডি নির্দিষ্ট করে দিচ্ছেন না আপনি কেবল ওপেনআইডি উল্লেখ করেন । সেই ওপেনআইডিটি অবশ্যই একটি অ্যাকাউন্টের সাথে সংযুক্ত থাকতে হবে, অন্যথায় আপনি একটি নতুন অ্যাকাউন্ট তৈরি করার বিকল্পটি পাবেন (কমপক্ষে এখানে এসএফ এ)।
ক্রিস এস
1

ডেভিড, আপনার অনুমান মিথ্যা। ওপেনআইডি এইভাবে কাজ করে: 1) আপনি সাইটে রিলিংপর্টি.কম এ লগ ইন করতে চান 2) আপনি রিলিংপার্টটি ডট কম আপনার ওপেনআইডি, যেমন ডেভিড ডটকম 3) রিলিংপার্টটি ডট কম ডভিড ডট কম (ওহে, এটি একটি ইউআরএল) চেক করে ওপেনআইডি এন্ডপয়েন্টটি বলা হয় যা ডেভিড.কম এ পাওয়া যেতে পারে তবে প্রতিনিধিদলের মাধ্যমে অন্য কোথাও যেমন, ইয়াহু ডট কম বা গুগল ডট কম। আসুন একে ড্যাভিডোসপেনিডপ্রোভাডর ডট কম বলুন 4) আপনাকে এখনই ডেভিডসপেনিডপ্রোভাডর ডটকমকে পুনর্নির্দেশ করা হয়েছে। ডেভিডসপেনিডপ্রোভাইডার ডটকমের কাজ আপনাকে প্রমাণীকরণ করা। আপনাকে ডেভিডসপেনিডপ্রোভাইডার ডটায় লগ ইন করতে হবে। এই লগইনটি কীভাবে কাজ করে তা ডেভিডসপেনিডপ্রোভাডট কম। এটি ব্যবহারকারীর নাম / পাসওয়ার্ড হতে পারে, এটি হতে পারে তথ্য কার্ড, ব্রাউজার শংসাপত্র, ফিঙ্গারপ্রিন্ট, স্মার্ট কার্ড, কল যাচাইয়ের মতো ব্যান্ড-ব্যান্ড প্রক্রিয়া, ... এটি ডেভিডসপেনিডপ্রোভাডার up com এটি কীভাবে প্রমাণীকরণ পরিচালনা করে। তারপরে এটি জিজ্ঞাসা করে যে আপনি সত্যিই রিলিংপর্টি ডটকম-এ লগ ইন করতে চান কিনা। 5) আপনি সফলভাবে ডেভিডসপেনিডপ্রোভিডোয়ার.কম-এ লগ ইন করলে আপনাকে পুনরায় রিলাইংপায়ার্ট ডট কম এ ডাইরেক্ট করা হবে এবং সেখানে স্বয়ংক্রিয়ভাবে লগ ইন করা হবে। )) ডেভিডসোপেনিডপ্রোভাইডার ডট কম শুধুমাত্র রিলিংপরিটি ডট কমকে আশ্বস্ত করে যে আপনি কে আপনি নিজেরাই দাবি করছেন। এটি কোনও পাসওয়ার্ড প্রেরণ করে না।

সুতরাং আপনার অনুমান "ভোক্তা হিসাবে, যখন আমি কোনও সাইট ডটকম এ অ্যাকাউন্ট তৈরি করি, তখন বিকাশকারী / সাইট পরিচালকদের বুদ্ধি সম্পর্কে আমার ধারণা নেই" " ওপেনআইডি-র ক্ষেত্রে মিথ্যা। যদি কোনও দুর্বল পয়েন্ট থাকে তবে এটি সরবরাহকারী তবে কোনও সাইট ডটকম নয়। Traditionalতিহ্যগত ব্যবহারকারীর নাম / পাসওয়ার্ড লগইন এখন এটি সমস্যা। আপনার প্রতিটি সাইটে বিশ্বাস রাখতে হবে যা এইভাবে লগইন সরবরাহ করে এবং কেবলমাত্র আপনার ওপেনআইডি সরবরাহকারী নয়।

আমি আশা করি এটি ওপেনআইডি বুঝতে সহায়তা করবে।

0

তারা কীভাবে জানবে?

আপনি যেভাবে জানেন যে কোনও পুরানো সাইট আপনার পাসওয়ার্ডের সাথে অন্য কারও কাছে চলেছে - আপনি করবেন না। এজন্য আপনি কোনও নামীদামী সংস্থা হওয়ার সম্ভাবনা যা ব্যবহার করেন।

আপনি নিজের ওপেনআইডি পরিবর্তন না করে কখনও আপনার ওপি পরিবর্তন করতে পারবেন না।

অবশ্যই আপনি পারেন। ওপেনআইডি প্রতিনিধি দেখুন।

আমার ওপেনআইডিটি হ'ল http://ceejayoz.com/ , তবে আমার ওপি ওয়ার্ডপ্রেস ডটকম। Http://ceejayoz.com/META এর মাথায় দুটি ট্যাগ আমাকে এটি করার অনুমতি দেয় এবং আমি যে কোনও সময় চাইলে এটি পরিবর্তন করতে পারি।

ceejayoz
সূত্র
0

আপনার ওপেনআইডিটি আপনার সরবরাহকারী। pwnguin.netআমার ওপেনআইডি এটি অনুমান করার বিষয় নয়, এটি কেবল একটি পরিচিত সত্য। আমার ওপেনআইডিটি যা সুরক্ষা দেয় তা হ'ল pwnguin.net এ চলমান সফ্টওয়্যার, যা প্রশ্নের উত্তরকারী দর্শকের কাছে কোনও কুকি থাকলে কেবল তা স্বীকৃতি দেয়।

আমি বলব না ওপেনআইডি নিরাপদ; ক্রস সাইট স্ক্রিপ্টিং সব ধরণের আছে যা যেতে পারে, বা কিছু জাগতিক বিবরণ আমি উপেক্ষা বা ভুল হতে ঝোঁক।

jldugger
সূত্র
0

আমি এখানে উত্তরগুলি থেকে এটি সংগ্রহ করেছি ...

ওপেনআইডিআইডি কেবল পার্টির মতোই সুরক্ষিত এবং এটি কোনও প্রমাণীকরণ পদ্ধতির ক্ষেত্রেও সত্য। আমি বুঝতে পারি যে আমি এই আলোচনা শুরু করার আগেই।

ওপেনআইডি-র সমস্যাটি আমার কাছে দ্বিগুণ বলে মনে হচ্ছে ...

  1. আপনার লগইনআইডি আর কোনও গোপনীয়তা নেই কেবলমাত্র আপনার এবং আপনি যে সাইটের উপর এটি ব্যবহার করেন সেগুলির মধ্যে shared এটি আপনার ওপেনআইডি এবং আপনি এটি ব্যবহার করেছেন এমন প্রতিটি সাইট দ্বারা পরিচিত এবং এটি সহজেই অনুমানযোগ্য কিছু যা ইমেল ঠিকানা বা আপনার ইমেল ঠিকানা থেকে প্রাপ্ত কিছু বা এর মতোই কিছু।

  2. আরপি'রা তাদের সাইটে ওপেনআইপি বাস্তবায়ন করতে পারে যথাযথ অধ্যবসায় না করেই ধরে নিয়েছে যে তারা নিরাপদে যে একটি ব্যাপকভাবে অনুমোদিত 'প্রোটোকল' ব্যবহার করছে। মঞ্জুর, বেশিরভাগ রান-অফ-মিল-ওয়েব সাইট বিকাশকারীদের কোনও সাইট কীভাবে সুরক্ষিত করা যায় সে সম্পর্কে সত্যিকারের ধারণা নেই তবে তারা যদি তাদের নিজস্ব সুরক্ষা বাস্তবায়ন করে তবে কমপক্ষে # 1 সংখ্যাটি কার্যকর হয় না।

গ্রাহক হিসাবে, আমি যখন কোনও সাইট ডটকম এ অ্যাকাউন্ট তৈরি করি তখন আমার বিকাশকারী / সাইট ম্যানেজারদের বুদ্ধি সম্পর্কে কোনও ধারণা নেই। আমি এমন একটি আইডি ব্যবহার করি যা আমি সহজে অনুমানযোগ্য বলে মনে করি না। আমি চাই না যে সার্ভারফোল্ট ডট কম আমি ইডিআর ডটকমে লগইন করতে আইডিটি জানতে পারি। আমি প্রতিটি সাইটে আলাদা পাসওয়ার্ডও ব্যবহার করি এবং নিজের স্কিমের সাহায্যে সেই পাসওয়ার্ডগুলি পরিচালনা করি। সাইট অপারেটরগুলি মোট বোকা না হলে আমার অ্যাকাউন্টটি অন্তর্ভুক্ত হওয়ার পক্ষে খুব বেশি সম্ভাবনা নেই।

ওপেনআইডি-র সাহায্যে, ডাব্লুইইবি-র প্রত্যেকে জানে যে এটি কীভাবে কাজ করে এবং কীভাবে এটি আক্রমণ করতে পারে, আরপি'র জায়গায় যথাযথ ব্যবস্থা না করা উচিত।

আমি ওপেন সোর্স সফটওয়্যারটি পছন্দ করি তবে ওপেনআইডিআইডিটির ক্ষেত্রে আমি মনে করি এটি অনিশ্চিত গ্রহণকারীদের নিকৃষ্টমানের প্রয়োগ বাস্তবায়নের সম্ভাবনা উন্মুক্ত করে দেয়।

আমি মনে করি অনুমোদনের কিছু স্বাক্ষরিত মোহর দ্বারা এটি সমস্ত সমাধান করা যেতে পারে যা গ্রাহককে আশ্বাস দেয় যে সাইটটি একটি নিরীক্ষা পাস করেছে এবং হ্যাকগুলির পক্ষে টেকসই নয়।

আমি কেবল অসম্পূর্ণ।

আমি এই পুরাতনটি জানি তবে, ওপেনিড "আইডি" জেনে নিরর্থক ... উদাহরণস্বরূপ গুগল এক্সারি একক ব্যবহারকারীর জন্য ঠিক একই url ব্যবহার করে। কীভাবে জানলে আপনি আমার হিসাবে স্ট্যাকওভারফ্লোতে লগইন করতে সহায়তা করে (আপনি যদি আমার গুগল অ্যাকাউন্ট হ্যাক করতে পারেন তবে আমার হিসাবে আপনাকে প্রমাণীকরণ করা যেতে পারে তবে এটি "ভুলে যাওয়া ব্যবহারকারী নাম / পাসওয়ার্ড" থেকে আলাদা নয়))
jmoreno
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.