Open ID 是否安全?例如,您可以使用它登录银行账户吗?
答案1
OpenID 与 OpenID 提供商一样安全(即“如果有人侵入您的 Myspace 帐户,他们就可以访问您的 OpenID 以及使用它的所有内容”)。
就我个人而言,我不会相信它能保管任何有价值的东西。大多数 OpenID 提供商的安全记录都很差。
答案2
虽然我同意 voretaq7 的观点,即 OpenID 的安全性取决于 OpenID 提供商,但我还是要说,在选择要使用的 OpenID 提供商时,必须小心谨慎,确保使用的是信誉良好的提供商。这一理念适用于与安全有关的一切。Google、AOL,我认为甚至 Verisign 现在都提供 OpenID,这些公司/提供商确实拥有良好的记录。
OpenID 相对于自有安全系统或其他第三方软件包的主要优势之一是,它将安全方面的身份验证交给了经验更丰富、资源更丰富的公司,而大多数小公司则没有。他们往往更有能力保护自己的服务器和数据。作为一家小商店的员工,我当然更相信 Google 能够正确配置保护这些数据所需的服务器、防火墙等。
然而,OpenID 同样容易受到最危险因素的攻击——用户选择弱凭证。
答案3
OpenID 是一种将身份验证委托给第三方的方法。对于像银行这样的高信任度应用程序,将身份验证委托给谁是一项重大的安全决策。目前的 openID 协议足以满足任何允许单因素身份验证(openID 身份验证令牌)或将身份验证委托给具有足够身份验证保障措施的系统的标准。
下一个问题:当前有任何 openID 提供商足够安全以进行网上银行业务吗?
这是一个不同的问题,目前可能还是否定的。但是,没有什么(技术)可以阻止,比如说,一个美国银行联盟汇集资源来创建一个遵循既定标准并经过审计的单一银行 openID 提供商。该 openID 提供商可以使用它需要的任何身份验证方法,无论是 SiteKey、SecureID、智能卡刷卡还是其他任何需要的方法。我认为这种可能性对于大型商业银行来说不太可能,但信用合作社社区可能会尝试一下。
答案4
OpenID 是一种协议。该协议非常安全,但后端身份验证方法却不一定如此。您可以运行 OpenId 门户,该门户将通过孟加拉国的 telnet 从 DOS 框验证用户。
它对银行业务来说足够安全吗?是的。事实上,我希望所有银行提供商都能允许它。此外,如果你想比其他技术提供商更信任银行提供商——如果他们能允许,那不是很好吗?提供它?