Lavoro sempre con le API e lavoro con sviluppatori web che insistono sul fatto che OAuth, OpenID, ecc. sono di gran lunga superiori a un metodo casalingo. Ogni sito sembra utilizzare anche questi ora per facilità d'uso per l'utente, ma anche per sicurezza. Lo sento quasi ogni giorno che è più sicuro, ma trovo che sia estremamente difficile da credere per alcuni motivi:
-
Se un hacker in qualche modo ottiene la tua password su un sito, lo sa ha accesso alla maggior parte dei siti che visiti adesso.
-
Rende il phishing 10 volte più facile. Con così tante persone che usano gli stessi accessi e lo fanno più e più volte, è meno probabile che le persone leggano effettivamente tutto e controllino l'URL in alto.
Potresti elencare più motivi per cui non è sicuro o potresti spiegarmi perché è più sicuro? Non vedo perché dovresti sopportare il fastidio di integrare uno di questi quando sembra che un utente stia bene inserendo in 3 campi (nome utente, password, e-mail) invece di fare clic sul logo del servizio per accedere (Twitter, Google, FB ecc.), Inserendo il proprio nome utente / password, facendo clic su Invia, quindi su Approva.
== Aggiorna ==
Per espandere la mia domanda come da richiesta.
Ai miei due punti precedenti, # 1 , non importa come l'ha capito l'hacker. Non sono sicuro di come espanderlo esattamente. Potresti forzarlo, indovinarlo, usare la password dimenticata e fare un attacco al dizionario su domande comuni, ecc. Ma comunque lo fai, il mio punto è che 1 password per accedere a 1000 server è molto meno sicura di 1000 password per accedere a 1000 siti diversi. Posso personalmente indovinare alcune delle password dei miei amici e familiari e non ho accesso a tutti i tipi di account. Non dovrei nemmeno cercarli. Mentre navighi sul web mi sono appena loggato ... Se fossi un hacker, molte di queste password sono molto facili da decifrare. Alcune delle password del mio amico sono pepsi
, tina
(quindi anno di nascita), 123456
e altre stupide. Il mio preferito però è tomcruisesucks
LOL.
Per il punto # 2 , per espandere ulteriormente, potrei andare a http: // wired. com, http://klout.com, http://twitter.com, http://thenextweb.com e hanno tutti un accesso a Twitter. Mi fido dei siti (per la maggior parte) quindi, onestamente, non controllo più l'URL della finestra popup che si apre per accedere e presumo che la maggior parte non lo faccia. Quella finestra pop-up potrebbe essere stata facilmente hackerata da un hacker che entrava in uno dei loro server, o da un impiegato malvagio, o semplicemente da un sito di app fasullo che un bot sta inviando a persone su Twitter che più persone accedono a questa app fasulla, ma usando l'accesso a Twitter.
Le persone sono così abituate a vedere le stesse pagine di accesso che non guardano più . Se questo thread diventa abbastanza popolare, posso facilmente fare un test semplicissimo su Twitter o FB inviando a tutti un collegamento a un'app falsa, avere una finestra popup che assomiglia a Twitter o FB e faranno il login. Lo garantisco. Se faccio andare la schermata di accesso a, diciamo, http://bankofamerica.com o http://paypal.com si chiederanno perché sono qui , perché hanno bisogno di queste informazioni, ecc. Gli stessi siti utilizzati per accedere più e più volte sono estremamente pessimi nella pratica.
Questo è il mio punto di discussione più ampio;)