Segurança OpenID

10

Nenhum aplicativo da web que exija um login OpenID poderia armazenar secretamente minha senha e obter acesso às minhas contas?

Se não, por que não?

Willbill
fonte

Respostas:

14

Eles não podem, pois você envia sua senha apenas ao seu provedor OpenID. No entanto, existe o risco de um site enviar você a um provedor falso que colete sua senha; portanto, é importante verificar novamente se o URI em que você está está correto antes de inserir sua senha.

Gelatina
fonte
10

O ponto principal do ID aberto é que ele o leva a um site seguro que solicita sua senha (seu provedor de ID aberto), que envia apenas as informações que você permite ao site que solicita as informações (por exemplo, endereço de e-mail, nome etc.) .).

Para uma explicação detalhada de como funciona, consulte o artigo da Wikipedia sobre o que acontece durante o processo de login .

Sensível
fonte
4

Também é importante considerar a alternativa. É sabido que as pessoas reutilizam nomes de contas e senhas na maioria dos sites. Imagine um site maligno que incentive as pessoas a criar contas. Um usuário cria uma conta de john_doe / xyzzy. O site maligno agora pode verificar se essas credenciais funcionam no amazon.com, ebay.com etc. Uso o google como meu provedor OpenId e presumo que é improvável que o Google se envolva em pequenos furtos como esse, onde, como proprietário de um fórum aleatório poderia.

MatthewMartin
fonte