На самом деле я всегда не любил OpenID по разным причинам.
Я должен доверять провайдеру OpenID, которому я передал свои данные. Я доверяю определенным сторонам в определенной степени, но только потому, что могу доверять переполнению стека, я не доверяю автоматически ни одному из известных поставщиков OpenID.
Если мой пароль OpenID скомпрометирован, все мои сайты, на которых я использую OpenID, скомпрометированы. Обычно я выбираю разные пароли для каждого сайта, который я использую, но я не могу с OpenID.
Мне совершенно не нравится концепция Персоны. Несмотря на то, что меня спрашивают, прежде чем отправлять какие-либо данные, кажется неправильным, что один поставщик имеет эту информацию, а другие службы могут запросить ее. Ладно, мне не нужно использовать это, если мне не нравится, но концепция кажется мне ошибочной.
Как уже упоминалось, данные передаются между сайтом и поставщиком OpenID и обратно. Всякий раз, когда данные обмениваются, они могут быть скомпрометированы. Ни одна система не защищена на 100%; даже не SSL (HTTPS). Разница заключается в том, что данные перемещаются только от меня в сторону и обратно ко мне или если они также перемещаются от этой стороны к другой и обратно.
Если провайдер OpenID взломан и хакер получает регистрационные данные всех пользователей (в конце концов, они прекрасно централизованы в одном месте!), Просто подумайте о влиянии!
Просто назвать несколько. Я также не вижу большого преимущества OpenID. Для пользователя они говорят
- Быстрее и проще регистрация и вход
- Снижение разочарования от забытого имени пользователя / пароля
- Поддержание актуальности личных данных на предпочитаемых сайтах
- Минимизация рисков безопасности пароля
Хорошо, давайте проанализируем это.
(1) Как часто вы регистрируетесь на страницу в день? 200 раз? Если я регистрируюсь на 2 страницы в неделю, это уже чертовски много. Обычно максимум 2-3 месяца (на самом деле Stack Overflow, или мой поставщик OpenID для использования Stack Overflow, был последней страницей, которую я зарегистрировал, и это было не совсем вчера). Таким образом, когда вы регистрируетесь на 2 сайта в месяц, у вас нет 5 минут, необходимых для заполнения формы? Давай, не будь смешным.
(2) Как? Потому что он использует один и тот же пароль везде? «Это не будущее, это ошибка», - говорят большинство экспертов по безопасности. Или потому что это позволяет мне восстановить мой пароль по почте? Ну, практически любая сторона, которую я использую, позволяет мне это делать. Несмотря на это, мой Firefox запоминает мои пароли достаточно хорошо, хранит их в зашифрованном виде на диске (используя мастер-пароль), и эта зашифрованная база данных регулярно резервируется, чтобы никогда не потеряться.
(3) Ну, это, вероятно, что-то положительное ... однако мое имя до сих пор не изменилось, мой адрес электронной почты также не изменится, так как это один из доменов, которые я использую, и перенаправлен на реальный адрес так что реальное можно изменить, я просто обновляю форвард и все работает как раньше). Мой почтовый адрес? Ну, некоторые люди много двигаются. Я только переехал один раз в моей жизни до сих пор. Однако большинству сторон не нужно знать мой адрес. Сайты, где я не вижу причин, чтобы люди знали эту информацию, но которые требуют, чтобы я заполнил ее для регистрации, просто получите поддельную. Во всем Интернете очень мало сайтов, которые знают мой реальный адрес (фактически, только те, которые могут когда-либо отправлять мне обычные письма или где я мог бы заказать товары).
(4) На самом деле я вижу это наоборот. Это максимизирует риск безопасности. Как это минимизирует риск?