这可以用于高度安全的信息,还是应该绕过单个站点身份验证系统?这可能是一个愚蠢的问题(因为它听起来不安全),但我想要一些建议。
答案 0 :(得分:5)
OpenID本身并不比传统的用户名+密码登录安全。
显然,您将大部分安全性委托给提供者 - 例如蛮力预防,密码大小政策等。
例如,不会将它用于网上银行,而不是OpenID协议本身不安全,但由于用例。
高度安全的信息
财务信息?国防部最高机密?无法通过互联网获得真正安全的信息,仅在本地网络上或通过VPN,这将一大块安全性转移到网络级别。真正安全的信息是在没有网络连接的计算机上......
有一种理论认为,用户只需要一个密码即可用于他们的OpenID帐户,可以选择一个不错的强度密码,当他们必须记住x密码时不太可能。
答案 1 :(得分:3)
OpenID本身是安全的,但由于其分散性,它通常假设三个服务器是“可信任的”。如果这些服务器不值得信任,那么您的安全性就会消失。
例如,如果您使用自己的网站作为标识符,但将身份验证委派给第三方提供商,那么如果您的网站或身份提供商,或消费者服务器被渗透,然后信息不安全。
如果您想在内部使用OpenID,并且仅使用 您自己的安全服务器作为OpenID提供商,那么您应该非常安全。但是如果你想让人们“自带OpenID帐户”,那么OpenID就不是正确的选择。
答案 2 :(得分:3)
一般来说,它实际上并不比普通用户/密码认证更安全,但有一个主要区别(IMO)。 OpenID允许用户通过多种不同的方法(Google,AOL,Yahoo等)登录。如果有人破解它,他们必须追求每项服务。如果您发现其中一项服务不太安全,您可以选择不允许某些服务参与。
答案 3 :(得分:3)
OpenID在技术上是合理的,但对于某些用户来说可能会让人感到困惑。我建议浏览this问题的回复。对于非常隐私的信息,我会谨慎使用OpenID,因为:
由于登录使用频繁且频繁,因此密码被意外泄露的机会更多。特别令人担心的是,如果用户在一天内注册的另一个启用OpenID的站点要求他们提供实际密码......某些用户可能会不加思索地输入它,而不会意识到他们正在绕过OpenId安全模型。
如果您怀疑OpenID的安全性,用户可能也会有这些疑问。从商业角度来看,感知不安全的风险是否值得? (当然,这至少比其他方式更好 - 安全性被认为是安全的!)
有一种趋势是在社交网站等上提供OpenID登录,但我怀疑我们会看到它被用于保护极其敏感的数据。