OpenID selbst ist nicht weniger sicher als der traditionelle Benutzername + Passwort-Login.
Offensichtlich vertrauen Sie dem Provider einen großen Teil der Sicherheit an - z. Brute-Force-Prävention, Passwort-Größe, etc.
Würde es beispielsweise nicht für Online-Banking verwenden, nicht während das OpenID-Protokoll selbst unsicher ist, sondern aufgrund des Anwendungsfalls.
hoch sichere Informationen
Finanzinformationen? DoD streng geheim? Wirklich sichere Informationen sind nicht über das Internet verfügbar, nur im lokalen Netzwerk oder über ein VPN, das einen Teil der Sicherheit auf die Netzwerkebene verlagert. Wirklich sehr sichere Informationen sind auf einem Computer ohne Netzwerkverbindung ...
Es gibt die Theorie, dass der Benutzer, der nur ein Passwort für sein OpenID-Konto hat, die Möglichkeit hat, ein anständiges Passwort zu wählen, weniger wahrscheinlich, wenn er sich x Passwörter merken muss.
OpenID selbst ist sicher, aber aufgrund seiner dezentralisierten Natur geht es oft davon aus, dass drei Server "vertrauenswürdig" sind. Wenn diese Server nicht vertrauenswürdig sind, ist Ihre Sicherheit weg.
Wenn Sie beispielsweise Ihre eigene Website als Identifikator verwenden, aber die Authentifizierung an einen Drittanbieter delegieren, dann wenn Ihre Website oder der Identitätsanbieter, oder ist Consumer Server ist durchdrungen, dann ist die Information nicht sicher.
Wenn Sie OpenID intern verwenden und nur Ihren eigenen sicheren Server als OpenID-Provider verwenden möchten, sollten Sie ziemlich sicher sein. Aber wenn Sie möchten, dass die Leute "ihren eigenen OpenID-Account mitbringen", dann ist OpenID nicht die richtige Wahl.
Im Allgemeinen ist es nicht mehr oder weniger sicher als die normale Benutzer- / Passwort-Authentifizierung, aber mit einem großen Unterschied (IMO). OpenID ermöglicht es einem Benutzer sich über mehrere verschiedene Methoden anzumelden (Google, AOL, Yahoo, etc ..). Wenn jemand es knacken würde, müssten sie nach jedem einzelnen Dienst gehen. Sie haben die Möglichkeit, bestimmten Diensten die Teilnahme zu verweigern, falls Sie eine davon als weniger sicher empfinden.
OpenID ist technisch solide, kann aber für einige Benutzer verwirrend sein. Ich empfehle, die Antworten zu diese Frage zu durchsuchen. Für sehr private Informationen wäre ich vorsichtig mit OpenID, weil:
Da die Anmeldung so häufig und so häufig verwendet wird, gibt es mehr Möglichkeiten, das Kennwort versehentlich zu veröffentlichen. Eine besondere Sorge wäre, wenn eine andere OpenID-fähige Site, an der der Benutzer an einem Tag registriert ist, sie nach ihrem tatsächlichen Passwort fragt ... einige Benutzer könnten es ohne nachzudenken eingeben und nicht merken, dass sie das OpenId-Sicherheitsmodell umgehen.
>Wenn Sie Zweifel an der Sicherheit von OpenID haben, haben die Benutzer möglicherweise auch diese Zweifel. Ist es aus geschäftlicher Sicht das Risiko wert, als unsicher wahrgenommen zu werden? (Natürlich ist das zumindest besser als umgekehrt - schlechte Sicherheit wird als sicher wahrgenommen!)
Es gibt einen Trend hin zum OpenID-Login auf Social-Networking-Sites und so, aber ich bezweifle, dass wir sehen, dass es sehr stark zum Schutz extrem sensibler Daten eingesetzt wird.
Tags und Links security authentication openid