web-dev-qa-db-fra.com

Les connexions OpenID sont-elles compromises par la violation des forums Ubuntu?

Honnêtement, je ne me souviens plus de ce que j'avais l'habitude de faire pour me connecter aux forums Ubuntu, mais je suis tout à fait sûr que c'était OpenID. Devrais-je être concerné?

18
georgebrindeiro

Puisque la connexion OpenID est toujours traitée du côté de l'émetteur (par exemple, si vous utilisez OpenID obtenu de Launchpad, les forums contacteront Launchpad et c'est Launchpad qui traite votre authentification). Les forums ne conservent pas votre mot de passe OpenID (ils ne pas besoin du tout).

Par conséquent, tout ce que les attaquants peuvent obtenir est votre identifiant OpenID, mais pas le mot de passe, car il ne l’est pas réellement.

En outre, juste pour être complet, selon cette annonce officielle , seuls les forums sont concernés, aucun autre service ne le est.

15
Rafał Cieślak

De http://openid.net/

Avec OpenID, votre mot de passe n’est donné qu’à votre fournisseur d’identité, qui en confirme l’identité aux sites Web que vous visitez. Hormis votre fournisseur d'accès, aucun site Web ne voit votre mot de passe. Vous n'avez donc pas à vous soucier d'un site Web peu scrupuleux ou peu sûr compromettant votre identité.

Le fournisseur d'identité est par exemple Google et le site Web que vous visitez est UF.

Alors oui, vous devriez être en sécurité.

8
Rinzwind

De manière générale (à ma connaissance, au moins) lors de l’utilisation d’un compte Open ID pour la connexion, l’authentification est gérée uniquement par le site Web externe (si, par exemple, si j’utilisais Facebook pour me connecter ici, l’authentification serait géré uniquement par Facebook et non par Ask Ubuntu). L’autre site ne donne qu’un identifiant unique indiquant au Forum Ubuntu/Ask Ubuntu/quoi que vous soyez, et ne transmet aucun de vos identifiants de connexion.

Ainsi, les mots de passe stockés (+ hachés et salés) par le forum Ubuntu seraient réservés aux comptes locaux (comme indiqué dans la section "Ce que nous savons" de la page de maintenance actuelle).

Bien sûr, si cela vous préoccupe toujours, cela ne vous gênera pas de changer vos mots de passe - et par souci de tranquillité d'esprit, ce serait probablement une bonne idée de le faire de toute façon - mais à ma connaissance, à moins que le service que vous avez utilisé pour authentifier votre Open ID a été enfreint (Google, Facebook, etc.), il ne devrait pas y avoir trop de quoi s'inquiéter.

Voir cette page sur le site Web OpenID pour plus de détails.

3
Jez W

Si vous avez vraiment utilisé OpenID: No .

Le processus de connexion est exécuté entre votre fournisseur OpenID et vous. Les services qui vous permettent d'utiliser OpenID ne voient même pas votre mot de passe! Il n'y a aucune possibilité pour qu'ubuntuforums ait stocké votre mot de passe.

Ressources OpenID

Les ressources suivantes peuvent vous aider à comprendre le fonctionnement d’OpenID.

1
Martin Thoma