Скомпрометированы ли входы в систему OpenID из-за взлома Ubuntu Forums?

Question 1

Я, честно говоря, не могу вспомнить, что я использовал для входа на форумы Ubuntu, но я уверен, что это был OpenID. Должен ли я быть обеспокоен?

Question 2

Поскольку вход в OpenID всегда обрабатывается на стороне эмитента (например, если вы используете OpenID, полученный с Launchpad, то Форумы будут связываться с Launchpad, и именно Launchpad обрабатывает вашу аутентификацию), Форумы не сохраняют ваш пароль OpenID им это вообще не нужно).

Следовательно, все, что могут получить злоумышленники, - это ваш логин OpenID, но не пароль, поскольку его там на самом деле нет.

Кроме того, просто для полноты, в соответствии с этим официальным объявлением , затрагиваются только форумы, никакие другие службы.

Question 3

Question 4

Вообще говоря (насколько мне известно, по крайней мере), когда для входа в систему используется учетная запись Open ID, аутентификация выполняется исключительно внешним веб-сайтом (например, если бы я использовал Facebook для входа в систему здесь) аутентификация будет выполняться исключительно Facebook, а не Ask Ubuntu). Другой сайт передает только уникальный идентификатор, который сообщает Ubuntu Forum / Ask Ubuntu / кем бы вы ни были, и не передает ваши данные для входа.

Таким образом, пароли, хранимые (+ хэшированные и засоленные) форумом Ubuntu, предназначены только для локальных учетных записей (как указано в разделе «Что мы знаем» на текущей странице обслуживания)

Конечно, если вы Вы по-прежнему обеспокоены этим, не помешает поменять ваши пароли - и для спокойствия, вероятно, было бы хорошей идеей сделать это в любом случае - но, насколько мне известно, разве что сервис, который вы использовали для аутентификации вашего Open ID был взломан (Google, Facebook и т. Д.), Поэтому не должно быть особых поводов для беспокойства.

См. эту страницу на веб-сайте OpenID для получения дополнительной информации.

Question 5

Если вы действительно использовали OpenID: Нет .

Процесс входа в систему выполняется между вашим поставщиком OpenID и вами. Сервисы, позволяющие использовать OpenID, даже не видят ваш пароль! Нет никакой возможности, как ubuntuforums могли сохранить ваш пароль.

Ресурсы OpenID

Следующие ресурсы могут помочь вам понять, как работает OpenID.

A YouTube видео
Википедия
Много контента от Google о OpenID (изображение очень хорошее)

Question 6

С http://openid.net/

С OpenID ваш пароль предоставляется только вашему провайдеру идентификации, и этот провайдер затем подтверждает вашу личность на веб-сайтах ты посещаешь. За исключением вашего провайдера, ни один веб-сайт никогда не увидит ваш пароль, поэтому вам не нужно беспокоиться о недобросовестном или небезопасном веб-сайте, который может скомпрометировать вашу личность.

Поставщиком идентификационных данных является, например, Google, а веб-сайт, который вы посещаете, - UF.

Так что да, вы должны быть в безопасности.

Rafał Cieślak · Answer 1 · 24 July 2013 в 18:42

Поскольку вход в OpenID всегда обрабатывается на стороне эмитента (например, если вы используете OpenID, полученный с Launchpad, то Форумы будут связываться с Launchpad, и именно Launchpad обрабатывает вашу аутентификацию), Форумы не сохраняют ваш пароль OpenID им это вообще не нужно).

Следовательно, все, что могут получить злоумышленники, - это ваш логин OpenID, но не пароль, поскольку его там на самом деле нет.

Кроме того, просто для полноты, в соответствии с этим официальным объявлением , затрагиваются только форумы, никакие другие службы.

Jez W · Answer 2 · 24 July 2013 в 18:42

Вообще говоря (насколько мне известно, по крайней мере), когда для входа в систему используется учетная запись Open ID, аутентификация выполняется исключительно внешним веб-сайтом (например, если бы я использовал Facebook для входа в систему здесь) аутентификация будет выполняться исключительно Facebook, а не Ask Ubuntu). Другой сайт передает только уникальный идентификатор, который сообщает Ubuntu Forum / Ask Ubuntu / кем бы вы ни были, и не передает ваши данные для входа.

Таким образом, пароли, хранимые (+ хэшированные и засоленные) форумом Ubuntu, предназначены только для локальных учетных записей (как указано в разделе «Что мы знаем» на текущей странице обслуживания)

Конечно, если вы Вы по-прежнему обеспокоены этим, не помешает поменять ваши пароли - и для спокойствия, вероятно, было бы хорошей идеей сделать это в любом случае - но, насколько мне известно, разве что сервис, который вы использовали для аутентификации вашего Open ID был взломан (Google, Facebook и т. Д.), Поэтому не должно быть особых поводов для беспокойства.

См. эту страницу на веб-сайте OpenID для получения дополнительной информации.

Martin Thoma · Answer 3 · 24 July 2013 в 18:42

Если вы действительно использовали OpenID: Нет .

Процесс входа в систему выполняется между вашим поставщиком OpenID и вами. Сервисы, позволяющие использовать OpenID, даже не видят ваш пароль! Нет никакой возможности, как ubuntuforums могли сохранить ваш пароль.

Ресурсы OpenID

Следующие ресурсы могут помочь вам понять, как работает OpenID.

A YouTube видео
Википедия
Много контента от Google о OpenID (изображение очень хорошее)

Rinzwind · Answer 4 · 24 July 2013 в 18:42

С http://openid.net/

С OpenID ваш пароль предоставляется только вашему провайдеру идентификации, и этот провайдер затем подтверждает вашу личность на веб-сайтах ты посещаешь. За исключением вашего провайдера, ни один веб-сайт никогда не увидит ваш пароль, поэтому вам не нужно беспокоиться о недобросовестном или небезопасном веб-сайте, который может скомпрометировать вашу личность.

Поставщиком идентификационных данных является, например, Google, а веб-сайт, который вы посещаете, - UF.

Так что да, вы должны быть в безопасности.

Скомпрометированы ли входы в систему OpenID из-за взлома Ubuntu Forums?

4 ответа

Ресурсы OpenID

Другие вопросы по тегам:

Похожие вопросы: