Логарифмы OpenID скомпрометированы с нарушением Ubuntu Forums?

18

Я честно не могу вспомнить, что я использовал для входа в Ubuntu Forums, но я уверен, что это был OpenID. Должен ли я быть обеспокоен?

    
задан georgebrindeiro 24.07.2013 в 16:42
источник

4 ответа

15

Так как вход OpenID всегда обрабатывается на стороне эмитента (например, если вы используете OpenID, который вы получили с Launchpad, тогда Форумы свяжутся с Launchpad, и это Launchpad, который обрабатывает вашу аутентификацию), Форумы не сохраняют ваш пароль OpenID ( им это совсем не нужно).

Таким образом, все злоумышленники могут получить ваш логин OpenID, но не пароль, поскольку на самом деле это не так.

Кроме того, только для полноты, согласно это официальное объявление , затронуты только форумы, нет других сервисов.

    
ответ дан Rafał Cieślak 24.07.2013 в 16:52
источник
8

От Ссылка

  

С OpenID ваш пароль предоставляется только вашему провайдеру идентификации, и этот провайдер подтверждает вашу личность на веб-сайтах, которые вы посещаете. Помимо вашего провайдера, ни один веб-сайт никогда не видит ваш пароль, поэтому вам не нужно беспокоиться о том, что недобросовестный или небезопасный сайт нарушает вашу личность.

Поставщик удостоверений - это, например, Google, а веб-сайт, который вы посещаете, - UF.

Итак, да, вы должны быть в безопасности.

    
ответ дан Rinzwind 24.07.2013 в 16:58
3

Вообще говоря, по крайней мере, насколько я знаю, при использовании учетной записи Open ID для входа в систему аутентификация обрабатывается исключительно внешним веб-сайтом (например, если бы я использовал Facebook для входа сюда , аутентификация будет обрабатываться исключительно Facebook, а не Ask Ubuntu). Другой сайт передает только уникальный идентификатор, который сообщает Ubuntu Forum / Ask Ubuntu / независимо от того, кем вы являетесь, и не передает ни одной из ваших данных для входа.

Таким образом, пароли, хранящиеся (+ хэшированные и соленые) на форуме Ubuntu, будут только для локальных учетных записей (как указано в разделе «Что мы знаем» на текущей странице обслуживания)

Конечно, если вы все еще беспокоитесь об этом, это не помешает изменить ваши пароли - и для спокойствия было бы, вероятно, хорошей идеей сделать это в любом случае, но насколько я знаю, если только служба, которую вы использовали для аутентификации вашего открытого идентификатора (Google, Facebook и т. д.), не должно быть слишком много поводов для беспокойства.

Подробнее см. эту страницу на веб-сайте OpenID .

    
ответ дан Jez W 24.07.2013 в 16:50
0

Если вы действительно использовали OpenID: Нет .

Процесс регистрации выполняется между вашим провайдером OpenID и вами. Службы, которые позволяют использовать OpenID, даже не видят ваш пароль! Нет никакой возможности, как ubuntuforums мог сохранить ваш пароль.

Ресурсы OpenID

Следующие ресурсы могут помочь вам понять, как работает OpenID.

ответ дан Martin Thoma 25.07.2013 в 20:40