Seguridad OpenID

10

¿No podría cualquier aplicación web que requiera un inicio de sesión de OpenID simplemente almacenar en secreto mi contraseña y obtener acceso a mi (s) cuenta (s)?

¿Si no, porque no?

Willbill
fuente

Respuestas:

14

No pueden, ya que solo envía su contraseña a su proveedor de OpenID. Sin embargo, existe el riesgo de que un sitio pueda enviarlo a un proveedor falso que recopile su contraseña, por lo que es importante verificar que el URI en el que se encuentra es correcto antes de ingresar su contraseña.

Gelatina
fuente
10

El objetivo de la identificación abierta es que lo lleva a un sitio web seguro que le solicita su contraseña (su proveedor de identificación abierta), que luego envía solo la información que le permite al sitio que solicita la información (por ejemplo, dirección de correo electrónico, nombre, etc. .).

Para obtener una explicación detallada de cómo funciona, consulte el artículo de Wikipedia sobre lo que sucede durante el proceso de inicio de sesión .

Sensato
fuente
4

También es importante considerar la alternativa. Es bien sabido que las personas reutilizan nombres de cuentas y contraseñas en la mayoría de los sitios. Imagina un sitio maligno que alienta a las personas a crear cuentas. Un usuario crea una cuenta de john_doe / xyzzy. El sitio malvado ahora puede ir a ver si esas credenciales funcionan en amazon.com, ebay.com, etc. Uso Google como mi proveedor de OpenId y supongo que es poco probable que Google se involucre en pequeños robos como ese, mientras que como propietario aleatorio del foro podría.

MatthewMartin
fuente