我在网站上使用OpenID作为身份验证方法是否存在任何安全风险？

是的OpenID认证用户的安全方法的网站上？

如果没有,与OpenID相关的安全风险是什么？

1> pyrachi..：

---

我同意David在上面提到的许多观点,所以我在这里只是为了争论而提出一些观点.

对于知识渊博的用户,我认为OpenID是一种比许多网站提供的更安全的身份验证形式.现在让我支持这一说法.首先,知识渊博的用户是什么意思？我会将那个人定义为了解OpenID弱点并采取措施缓解这些弱点的人:

如果他们不希望网站能够有效地跟踪它们,则保持多个角色.

在24/7访问成为问题的网站上注册两个或更多OpenID提供商.

始终直接登录其OpenID提供商.他们从不登录第三方网站重定向到的页面.

许多网站不知道如何安全地维护用户的密码.OpenID非常好用的是我可以选择我的OpenID提供程序,从而选择登录依赖方所需的身份验证级别.例如,我可以选择将身份验证委派给Verisign或Trustbearer - 这两种身份验证技术都比Web上的大多数网站提供更强大的身份验证技术.我宁愿相信一个专门用我的密码安全的组织而不是网上的一些随机网站.所以我认为,对于知识渊博的用户,OpenID 可以比实现自己的身份验证系统的每个网站更安全.

尽管如此,大多数用户并不了解OpenID中固有的风险因素,也不会采取措施来降低风险.

2> Mecki..：

---

实际上我总是因为各种原因而不喜欢OpenID.

我必须相信我提供数据的OpenID提供商.我确实相信某些方面,但仅仅因为我可能信任Stack Overflow,我不会自动信任任何着名的OpenID提供商.

如果我的OpenID密码被泄露,我使用OpenID的所有网站都会受到攻击.通常我会为我正在使用的每个站点选择不同的密码,但我不能使用OpenID.

我根本不喜欢Persona的概念.即使在发送任何数据之前我被问到,但是一个提供商拥有此信息并且其他服务可以请求它似乎也不正确.好吧,如果我不喜欢,我不必使用它,但这个概念对我来说似乎有缺陷.

如前所述,数据在站点和OpenID提供程序之间发送,然后再返回.无论何时交换数据,都可能会受到损害.没有系统100%安全; 甚至不是SSL(HTTPS).如果数据仅从我传到一侧并返回到我自己,或者它也从那一侧传播到另一侧并再次返回,则会有所不同.

如果一个OpenID提供程序被黑客攻击并且黑客获取了所有用户的登录数据(毕竟它们可以集中在一个地方!),只需考虑其影响!

仅举几个.我也没有看到OpenID的巨大优势.对于他们说的用户

更快速,更轻松地注册和登录

减少忘记用户名/密码的挫败感

在首选站点维护最新的个人数据

最大限度地减少密码安全风险

好的,让我们分析一下.

(1)您每天多久注册一次页面？200次？如果我每周注册2页,那已经很多了.通常最多2-3个月(实际上Stack Overflow,或者我的OpenID提供程序使用Stack Overflow,是我注册的最后一页,这在昨天并不完全).因此,当您每月注册2个网站时,您没有5分钟填写表格吗？来吧,不要太荒谬.

(2)怎么样？因为它到处使用相同的密码？"这不是未来,这是一个错误",大多数安全专家会说.或者因为它允许我通过邮件恢复我的密码？好吧,实际上几乎我使用的任何一方都允许我这样做.尽管如此,我的Firefox还是很好地记住了我的密码,将它们加密存储在磁盘上(使用主密码),这个加密的数据库定期备份,永不丢失.

(3)嗯,这可能是积极的......但是,到目前为止,我的名字从未改变过,我的电子邮件地址也不会因为它是我使用的域名之一而转发到真实地址(所以真实的一个人可以改变,我只是更新前进,一切都像以前一样工作).我的街道地址？好吧,有些人搬家很多.到目前为止,我一生中只搬过一次.但是,大多数方面都不需要知道我的街道地址.我认为没有理由让人们知道这些信息的网站,但这要求我填写注册信息,只是伪造一个.整个互联网上的网站很少知道我的真实地址(实际上只有那些可能要发给我蜗牛邮件的地方或我可能订购商品的地方).

(4)实际上我反过来看.它最大化了安全风险.它如何将风险降至最低？

---

如果您为访问的每个站点使用不同的密码,那么您就可以领先于OpenID,OpenID可以为您提供更少的密码.大多数用户没有,因此对于他们注册的每个新网站,他们会将密码泄露给所有其他网站.另见http://blog.wachob.com/2007/01/openid_is_a_pla.html

---

每个人的反驳:1)主要是注册时间的比率/(注册时间+需要注册的活动).如果我想留下需要3分钟写的评论,并且注册需要5,那么我就不会这样做了.如果使用openid是10秒,那么我会.

---

2)它没有"到处使用相同的密码".openid消费者永远不会看到密码.如果我丢失了"常用"密码,那么我需要转到每个站点并重置它.我的大多数密码都在firefox中,但是,当我去其他电脑时,我会忘记它们,这很痛苦.

---

3)如果你是女性并结婚,你的名字可能会改变.很多人都会收到新的电子邮件地址.

---

4)我认为这是在多个站点上使用相同密码或类似密码的普通用户.永远不会将您的密码输出到网站,因此存在泄露密码的风险.或者,人们使用不太安全的密码来记住它们,这会降低安全性

3> David Arno..：

---

OpenID本质上是不安全的.它适用于您的站点将用户重定向到其开放ID提供程序站点,然后从该站点接收ID.这在两个方向都提供了不安全感.您必须信任返回的ID(因为您无法自己对用户进行身份验证),并且可以轻松地为用户的开放ID提供程序运行代理,从而允许您窃取其用户名和密码.

OpenID适用于像Stack Overflow这样的东西,如果有人假冒你并不重要.将OpenID用于更严重的网站 - 在个人层面 - 内容风险极大.例如,如果您使用OpenID作为电子邮件,则窃取您的身份证的任何人都可以访问您的电子邮件.然后,他们可以将密码提醒请求发送到您使用的其他网站,以获取这些网站的密码.在最糟糕的情况下,您可以将OpenID用于银行帐户,或者让银行向您的电子邮件帐户发送密码提醒...

OpenID还有许多其他安全问题.您可以在"Internet上的隐私"中找到更多信息.

---

-1,你的答案很通用,不回答你自己的问题!与(例如)在您自己的网站登录表单中直接输入用户身份的ID相比,从第三方网站接受身份证有什么不安全感？如何在不在浏览器地址栏中显示代理URL的情况下操作代理来窃取用户名和密码？然后你提供的"众多其他问题"链接重定向到网站主页,这是完全无关紧要的.