Je stocke des OpenID dans une base de données afin de pouvoir connecter les utilisateurs très rapidement. Devrais-je les crypter dans ma base de données?Dois-je crypter des OpenID dans ma base de données?
Une autre question serait: sont-ils considérés comme des informations «sensibles»?
Contrairement à une autre réponse: No. Cela ne sert à rien de le faire.
Pour accéder à un compte, il faut d'abord s'authentifier auprès de l'OP. Il n'y a pas de méthode pour pénétrer dans le compte d'une personne en connaissant simplement un identifiant (et seulement cela).
Le protocole OpenID, par définition, permet aux utilisateurs de placer leurs identifiants dans des endroits très évidents (comme leur page d'accueil) avec un minimum de risque supplémentaire. Si les identifiants devaient être des informations "sensibles", il ne serait pas possible de déléguer OpenID.
Si le fait que votre base de données ait été compromise impliquerait qu'un attaquant a accès à toutes les identités, OpenID serait vraiment, vraiment non sécurisé (et il ne l'est pas).
L'identificateur OpenID est uniquement une URL pointant vers un fournisseur. De cette information, vous ne pouvez pas en déduire plus que ce que l'utilisateur prétend être (et dans le cas d'une identité dirigée, même pas cela).
Vous pourriez vous demander: "Dois-je crypter les connexions?" Si votre réponse est Vrai - crypter les identifiants, car ils ne sont pas différents. Si c'est faux, alors ne vous embêtez pas.
Ceci devrait être marqué comme la bonne réponse. Ce que j'ai dit dans les commentaires était incorrect, et votre dernière ligne résume mieux la réponse que la mienne. Je pense toujours qu'il peut y avoir des problèmes avec certains types d'identificateurs revendiqués. Je vais travailler dessus ce soir. –
Urgh. Quelqu'un a posté une réponse incorrecte (pas d'infraction, @NickLarsen, je salue votre commentaire ci-dessus) - et il a été upvoted et accepté. Cela arrive assez souvent, bien que rarement d'une manière si claire. Ce n'est pas une bonne chose. Que pouvons-nous faire à ce sujet? Y a-t-il quelque chose que nous pouvons faire à ce sujet? Est-ce que Stack Overflow a sauté sur le requin? –
Je ne peux pas le supprimer car il a été accepté, mais j'ai pu le modifier. –