Google将电子邮件地址用作其提供商服务的OpenID登录字符串。
我正在阅读一个他们正在努力将其纳入标准的会议。微软反对这一点,“官方”原因是这应该引入的安全漏洞。这是假的吗?如果没有,为什么它不安全?
答案 0 :(得分:21)
这违背了最低限度的披露概念。现在,如果OpenID依赖方想要您的电子邮件地址,他们会要求您提供该服务,并由身份提供商向您发出警告并要求您进行确认。使用电子邮件地址意味着无论您喜不喜欢它,除非您使用OpenID 2.0,它可以在每个依赖方的基础上生成唯一值。
对于所有OpenID库来说,这也是一个很大的变化 - 网址是可发现的,你知道在哪里可以使用它们,电子邮件地址不是,这就是为什么谷歌单方面这样做并且有效地分配OpenID标准的愤怒适应自己。
另一个问题在于网络钓鱼。 OpenID非常容易受到攻击,因为用户信任依赖方在通过提供的OpenID发现它后将其重定向到提供商 - 因此“恶作剧”的依赖方可能会重定向到保存OpenID和密码的网络钓鱼站点。使用Google,OpenID和密码是您的Gmail帐户和密码,因此您不仅失去了对OpenID的控制权,还失去了对您的电子邮件帐户的控制权。当然这可以由提供商保护 - 您可以拥有单独的电子邮件密码和OpenID密码,您可以在OpenID登录页面上显示每个用户的秘密消息,但是我们很清楚用户是笨。他们不检查浏览器中的URL,他们盲目地在对话框上单击“确定”,他们根本不认为某个网页可能是虚假的。通过使用电子邮件地址和相同的密码,Google将其大部分用户暴露给不可接受的风险。
答案 1 :(得分:0)
使用电子邮件地址的一个危险是它是可猜测的。或者,而不是想要破坏您的帐户的人可能会知道它。
将其与您的用户名和OpenID提供程序可能是任何内容的当前情况进行比较。也许这是可猜测的,也许不是。如果不是这样,会让您的帐户受到更大的损害。
有些人似乎对此有疑问。看起来很简单。我没有说过一个非显而易见的用户名本身就足够了。离得很远。通过默默无闻的安全根本不是安全。
然而,这是纯粹的常识:
在最坏的情况下,(1)对(2)同样安全,最多也更安全。
如果您的电子邮件是您的密码,那么如果您破坏了某人的电子邮件地址,您可能会因使用“忘记密码?链接以及在一个地方使用的密码更有可能在另一个地方使用的事实。
抱歉,这只是常识。