Czy żadna aplikacja internetowa, która wymaga logowania OpenID, nie może po prostu potajemnie przechowywać mojego hasła i uzyskać dostępu do moich kont?
Jeśli nie, dlaczego nie?
10
Nie mogą, ponieważ wysyłasz tylko swoje hasło do dostawcy OpenID. Istnieje jednak ryzyko, że witryna może wysłać Cię do fałszywego dostawcy, który odbiera Twoje hasło, dlatego ważne jest, aby dokładnie sprawdzić, czy identyfikator URI, na którym się znajdujesz, jest prawidłowy przed wprowadzeniem hasła.
Cały sens otwartego identyfikatora polega na tym, że zabiera Cię do bezpiecznej strony internetowej, która prosi o hasło (Twój dostawca otwartych identyfikatorów), która następnie wysyła tylko informacje, na które zezwalasz, na stronę z prośbą o informacje (np. Adres e-mail, imię itp. .).
Szczegółowe wyjaśnienie, jak to działa, znajduje się w artykule Wikipedii na temat tego, co dzieje się podczas procesu logowania .
Ważne jest również rozważenie alternatywy. Powszechnie wiadomo, że ludzie ponownie używają nazw kont i haseł w większości witryn. Wyobraź sobie złą stronę, która zachęca ludzi do tworzenia kont. Użytkownik tworzy konto john_doe / xyzzy. Zła strona może teraz sprawdzić, czy te dane uwierzytelniające działają na amazon.com, ebay.com itp. Używam google jako mojego dostawcy OpenId i zakładam, że google prawdopodobnie nie podejmie takiej drobnej kradzieży, gdzie jako przypadkowy właściciel forum moc.