¿Los inicios de sesión de OpenID están comprometidos con la violación de los foros de Ubuntu?

18

Honestamente, no puedo recordar lo que solía iniciar sesión en Ubuntu Forums, pero estoy bastante seguro de que era OpenID. ¿Debería preocuparme?

    
pregunta georgebrindeiro 24.07.2013 - 14:42

4 respuestas

15

Dado que el inicio de sesión de OpenID siempre se procesa en el lado del emisor (por ejemplo, si utiliza OpenID desde Launchpad, los Foros se pondrán en contacto con Launchpad y es Launchpad quien procesará su autenticación), los Foros no conservarán su contraseña de OpenID ( no lo necesitan en absoluto).

Por lo tanto, todos los atacantes pueden obtener su inicio de sesión OpenID, pero no la contraseña, ya que no está realmente allí.

Además, solo para completar, de acuerdo con este anuncio oficial , solo los Foros se ven afectados, no hay otros servicios.

    
respondido por el Rafał Cieślak 24.07.2013 - 14:52
8

Desde enlace

  

Con OpenID, su contraseña solo se le otorga a su proveedor de identidad, y ese proveedor luego confirma su identidad en los sitios web que visita. Además de su proveedor, ningún sitio web ve su contraseña, por lo que no debe preocuparse por un sitio web inescrupuloso o inseguro que comprometa su identidad.

El proveedor de identidad es, por ejemplo, Google y el sitio web que visita es UF.

Entonces, sí, deberías estar a salvo.

    
respondido por el Rinzwind 24.07.2013 - 14:58
3

En términos generales (al menos que yo sepa, al menos) cuando se utiliza una cuenta de Open ID para iniciar sesión, la autenticación se maneja exclusivamente por el sitio web externo (por ejemplo, si tuviera que usar Facebook para iniciar sesión aquí) , la autenticación sería manejada solo por Facebook y no por Ask Ubuntu). El otro sitio solo entrega un identificador único que le dice al Foro de Ubuntu / Ask Ubuntu / lo que sea que usted sea, y no transmite ninguno de sus datos de acceso.

Así que las contraseñas almacenadas (+ hash y saladas) por el foro de Ubuntu serían solo para cuentas locales (como se menciona en la sección "Lo que sabemos" de la página de mantenimiento actual)

Por supuesto, si todavía te preocupa, no estaría de más cambiar tus contraseñas, y para tu tranquilidad, probablemente sería una buena idea hacerlo de todos modos, pero hasta donde sé, a menos que el el servicio que utilizó para autenticar su Open ID fue violado (Google, Facebook, etc.) no debería haber demasiados motivos para preocuparse.

Consulte esta página en el sitio web de OpenID para obtener más información.

    
respondido por el Jez W 24.07.2013 - 14:50
0

Si realmente usó OpenID: No .

El proceso de inicio de sesión se ejecuta entre su proveedor de OpenID y usted. ¡Los servicios que le permiten usar OpenID ni siquiera ven su contraseña! No hay posibilidad de cómo ubuntuforums podría haber almacenado su contraseña.

Recursos de OpenID

Los siguientes recursos pueden ayudarlo a comprender cómo funciona OpenID.

respondido por el Martin Thoma 25.07.2013 - 18:40

Lea otras preguntas en las etiquetas