openID有多安全?

OpenID本身的安全性不亚于传统的用户名+密码登录。

很明显,您将很大一部分安全性委托给了提供者—例如暴力防护、密码大小策略等。

例如,当OpenID协议本身不安全时,不会将其用于在线银行业务,但这是由于用例的原因。

财务信息?国防部最高机密?真正安全的信息不能通过互联网获得,只能通过本地网络或VPN获得,VPN将一部分安全信息转移到了网络级别。真正安全的信息在没有网络连接的计算机上。。。

有一种理论认为,用户只有一个密码可用于他们的OpenID帐户,就有可能选择一个合适的强度密码,当他们必须记住x个密码时,这种可能性较小。

例如,如果您使用自己的网站作为标识符,但将身份验证委托给第三方提供商,那么如果您的网站, 或 或 用户服务器被侵入,则信息不安全。

如果您想在内部使用OpenID 你自己的安全服务器作为一个OpenID提供者,那么你应该是相当安全的。但如果你想让人们“带上自己的OpenID账户”,那么OpenID就不是正确的选择。

OpenID在技术上是合理的,但对某些用户来说可能是令人困惑的。我建议浏览一下对 this 问题。对于非常私人的信息,我会谨慎使用OpenID,因为:

• 由于登录被如此广泛和频繁地使用,密码有更多的机会被意外泄露。特别令人担心的是,如果某一天用户注册的另一个启用OpenID的站点要求他们输入实际密码……一些用户可能会不假思索地输入密码,没有意识到他们正在规避OpenID安全模型。

• 如果 你 如果对OpenID的安全性有疑问,用户也可能会有这些疑问。从商业的角度来看,值得冒这个风险吗 感知 没有安全感(当然,这至少比另一种方式要好——糟糕的安全性被认为是安全的!)