Je travaille avec des API tout le temps et je travaille avec des développeurs Web qui insistent sur le fait que OAuth, OpenID, etc. sont bien supérieurs à une méthode de brassage maison. Chaque site semble également les utiliser maintenant pour la facilité d'utilisation pour l'utilisateur, mais aussi pour la sécurité. J'entends presque tous les jours que c'est plus sûr, mais je trouve cela extrêmement difficile à croire pour plusieurs raisons:
-
Si un pirate informatique obtient votre mot de passe sur un site, il le sait a accès à la majorité des sites que vous visitez actuellement.
-
Cela facilite le phishing 10x. Avec autant de personnes utilisant les mêmes identifiants et recommençant, et encore une fois, les gens sont moins susceptibles de tout lire et de vérifier l'URL en haut.
Pouvez-vous énumérer plus de raisons pour lesquelles il est dangereux ou pourriez-vous m'expliquer pourquoi il est plus sûr? Je ne vois pas pourquoi vous accepteriez les tracas de l'intégration de l'un d'entre eux alors qu'il semble qu'un utilisateur ferait bien de saisir 3 champs (nom d'utilisateur, mot de passe, e-mail) au lieu de cliquer sur le logo du service pour se connecter (Twitter, Google, FB etc), en entrant leur nom d'utilisateur / mot de passe, en cliquant sur Soumettre, en cliquant sur approuver.
== Update ==
Pour développer ma question selon la demande.
Pour mes deux points ci-dessus, # 1 , peu importe comment le pirate informatique l'obtient. Je ne sais pas comment développer exactement. Vous pouvez le forcer brutalement, le deviner, utiliser le mot de passe oublié et faire une attaque par dictionnaire sur des questions courantes, etc. accéder à 1000 sites différents. Je peux personnellement deviner quelques mots de passe de mes amis et de ma famille et j'ai accès à toutes sortes de comptes. Je n'aurais même pas besoin de les chercher. Lorsque je navigue sur le Web, je suis simplement connecté ... Si j'étais un hacker, beaucoup de ces mots de passe sont très faciles à déchiffrer. Certains des mots de passe de mon ami sont, pepsi
, tina
(puis année de naissance), 123456
, et d'autres stupides. Mon préféré est cependant tomcruisesucks
LOL.
Pour le point # 2 , pour développer davantage, je pourrais aller sur http: // câblé. fr, http://klout.com, http://twitter.com, http://thenextweb.com et ils ont tous une connexion Twitter. Je fais confiance aux sites (pour la plupart) donc, honnêtement, je ne vérifie plus l'URL de la fenêtre contextuelle qui apparaît pour se connecter et je suppose que la plupart ne le font pas. Cette fenêtre contextuelle aurait pu être facilement piratée par un pirate informatique accédant à l'un de leurs serveurs, ou par un employé maléfique, ou simplement par un faux site d'application qu'un bot envoie à des personnes via Twitter que plusieurs personnes se connectent ensuite à cette fausse application, mais en utilisant la connexion Twitter.
Les gens sont tellement habitués à voir les mêmes pages de connexion qu'ils ne les regardent plus . Si ce fil devient assez populaire, je peux facilement faire un test très simple sur Twitter ou FB en envoyant à tout le monde un lien vers une fausse application, une fenêtre contextuelle qui ressemble à Twitter ou FB et ils se connecteront. Je le garantis. Si je fais en sorte que l'écran de connexion accède à, disons, http://bankofamerica.com ou http://paypal.com, ils se demanderont pourquoi je suis ici , pourquoi ont-ils besoin de cette information, etc. Les mêmes sites utilisés pour se connecter encore et encore sont extrêmement mauvais en pratique.
C'est mon point de discussion élargi;)