是OpenID在网站上验证用户身份的安全方法?
如果没有,与 OpenID 相关的安全风险是什么?
最佳答案
我同意 David 上面提出的许多观点,因此我在这里提出一些观点只是为了论证。
对于知识渊博的用户来说,我认为 OpenID 是一种比许多网站提供的更安全的身份验证形式。现在让我支持这一说法。首先,我所说的“知识渊博的用户”是什么意思?我将这个人定义为意识到 OpenID 弱点并采取措施缓解这些弱点的人:
- 如果他们不希望网站能够有效跟踪他们,则保留多个角色。
- 在存在 24/7 访问问题的网站上注册两个或多个 OpenID 提供商。
- 始终直接登录其 OpenID 提供商。他们从不登录第三方网站将他们重定向到的页面。
许多网站do not know how to securely maintain user's passwords 。 OpenID 的真正好处是,我可以选择我的 OpenID 提供商,从而选择登录依赖方所需的身份验证级别。例如,我可以选择将身份验证委托(delegate)给 Verisign或Trustbearer - 两者都提供比网络上大多数网站更强大的身份验证技术。我宁愿相信一个专门负责我的密码安全的组织,也不愿相信网络上的某个随机网站。所以我认为,对于知识渊博的用户来说,OpenID比每个实现自己的身份验证系统的网站更安全。
尽管如此,大多数用户并没有意识到 OpenID 固有的风险因素,也不会采取措施来降低风险。
关于security - 在我的网站上使用 OpenID 作为身份验证方法是否存在任何安全风险?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/182258/