Скомпрометированы ли входы в систему OpenID из-за взлома форумов Ubuntu?
Я, честно говоря, не могу вспомнить, что я использовал для входа на форумы Ubuntu, но я совершенно уверен, что это был OpenID. Должен ли я быть обеспокоен?
4 ответа
Поскольку вход в систему OpenID всегда обрабатывается на стороне эмитента (например, если вы используете OpenID, полученный от Launchpad, то Форумы свяжутся с Launchpad, и именно Launchpad обрабатывает вашу аутентификацию), Форумы не сохраняют ваш пароль OpenID (они не это вообще не нужно).
Следовательно, все, что могут получить злоумышленники, - это ваш логин OpenID, но не пароль, поскольку его там на самом деле нет.
Кроме того, просто для полноты, согласно этому официальному объявлению, затронуты только форумы, никаких других сервисов нет.
С OpenID ваш пароль предоставляется только вашему провайдеру идентификации, и этот провайдер затем подтверждает вашу личность на посещаемых вами веб-сайтах. За исключением вашего провайдера, ни один веб-сайт никогда не увидит ваш пароль, поэтому вам не нужно беспокоиться о недобросовестном или небезопасном веб-сайте, который подрывает вашу личность.
Например, провайдером идентификации является Google, а веб-сайт, который вы посещаете, - UF.
Так что да, вы должны быть в безопасности.
Вообще говоря (насколько мне известно, по крайней мере), когда для входа в систему используется учетная запись Open ID, аутентификация выполняется исключительно внешним веб-сайтом (например, если бы я использовал Facebook для входа в систему, аутентификация будет обрабатываться исключительно Facebook, а не Ask Ubuntu). Другой сайт передает только уникальный идентификатор, который сообщает Ubuntu Forum / Ask Ubuntu / кем бы вы ни были, и не передает никаких ваших данных для входа.
Таким образом, пароли, хранимые (+ хешированные и соленые) на форуме Ubuntu, предназначены только для локальных учетных записей (как указано в разделе "Что мы знаем" на текущей странице обслуживания)
Конечно, если вы все еще беспокоитесь об этом, это не помешает изменить ваши пароли - и для спокойствия, вероятно, было бы хорошей идеей сделать это в любом случае - но, насколько я знаю, если служба, которую вы использовали для проверки подлинности вашего открытого идентификатора (Google, Facebook и т. д.) не должно быть особых поводов для беспокойства.
Смотрите эту страницу на сайте OpenID для получения дополнительной информации.
Если вы действительно использовали OpenID: нет.
Процесс входа в систему выполняется между вашим поставщиком OpenID и вами. Сервисы, позволяющие использовать OpenID, даже не видят ваш пароль! Нет никакой возможности, как ubuntuforums могли сохранить ваш пароль.
Ресурсы OpenID
Следующие ресурсы могут помочь вам понять, как работает OpenID.
- Видео на YouTube
- Википедия
- Много контента от Google об OpenID (изображение очень хорошее)