¿Debo estar encriptando OpenID en mi base de datos?

Question

Estoy almacenando OpenID en una base de datos para que pueda iniciar sesión en usuarios muy rápidamente. ¿Debo encriptarlos en mi base de datos?

Una pregunta alternativa sería, ¿se consideran información 'sensible'?

Answer 1

Contrariamente a otra respuesta: No. No tiene sentido hacerlo.

Para obtener acceso a una cuenta, primero debe autenticarse con el OP. No existe un método para entrar de algún modo en la cuenta de alguien simplemente conociendo un identificador (y solo eso).

El protocolo OpenID, por diseño, permite a los usuarios colocar sus identificadores en lugares muy obvios (como su página de inicio) con un riesgo adicional pequeño. Si los identificadores estaban destinados a ser información "sensible", no sería posible delegar OpenID.

Si el hecho de que su base de datos se ha visto comprometida implicaría que un atacante tiene acceso a todas las identidades, OpenID sería realmente, realmente inseguro (y no lo es).

El identificador de OpenID es solo una url que apunta a un proveedor. A partir de esta información, no puede inferir nada más de lo que el usuario afirma ser (y en el caso de la identidad dirigida, ni siquiera eso).

Podrías preguntarte: "¿Debería encriptar los inicios de sesión?" Si su respuesta es verdadera, encripte los identificadores, porque no son diferentes. Si es falso, entonces no se moleste.