¿No podría cualquier aplicación web que requiera un inicio de sesión de OpenID simplemente almacenar en secreto mi contraseña y obtener acceso a mi (s) cuenta (s)?
¿Si no, porque no?
No pueden, ya que solo envía su contraseña a su proveedor de OpenID. Sin embargo, existe el riesgo de que un sitio pueda enviarlo a un proveedor falso que recopile su contraseña, por lo que es importante verificar que el URI en el que se encuentra es correcto antes de ingresar su contraseña.
El objetivo de la identificación abierta es que lo lleva a un sitio web seguro que le solicita su contraseña (su proveedor de identificación abierta), que luego envía solo la información que le permite al sitio que solicita la información (por ejemplo, dirección de correo electrónico, nombre, etc. .).
Para obtener una explicación detallada de cómo funciona, consulte el artículo de Wikipedia sobre lo que sucede durante el proceso de inicio de sesión .
También es importante considerar la alternativa. Es bien sabido que las personas reutilizan nombres de cuentas y contraseñas en la mayoría de los sitios. Imagina un sitio maligno que alienta a las personas a crear cuentas. Un usuario crea una cuenta de john_doe / xyzzy. El sitio malvado ahora puede ir a ver si esas credenciales funcionan en amazon.com, ebay.com, etc. Uso Google como mi proveedor de OpenId y supongo que es poco probable que Google se involucre en pequeños robos como ese, mientras que como propietario aleatorio del foro podría.