it-swarm.com.de

OpenID-Sicherheit

Konnte keine Webanwendung, die eine OpenID-Anmeldung erfordert, mein Passwort geheim speichern und Zugriff auf meine Konten erhalten?

Wenn nein, warum nicht?

10
Willbill

Dies ist nicht möglich, da Sie Ihr Passwort nur an Ihren OpenID-Provider senden. Es besteht jedoch die Gefahr, dass eine Site Sie werden an einen gefälschten Anbieter gesendet , die Ihr Passwort sammelt. Überprüfen Sie daher vor der Eingabe Ihres Passworts, ob der von Ihnen verwendete URI korrekt ist.

14
Gelatin

Der springende Punkt bei Open ID ist, dass Sie zu einer sicheren Website geleitet werden, auf der Sie nach Ihrem Passwort gefragt werden (Ihr Open ID - Anbieter), der dann nur die von Ihnen zugelassenen Informationen an die Site sendet, auf der die Informationen angefordert werden (z. B. E - Mail - Adresse, Name usw.) .).

Eine ausführliche Beschreibung der Funktionsweise finden Sie im Wikipedia-Artikel über Was passiert während des Anmeldevorgangs? .

10
Senseful

Es ist auch wichtig, die Alternative in Betracht zu ziehen. Es ist allgemein bekannt, dass Benutzer Kontonamen und Kennwörter auf den meisten Websites wiederverwenden. Stellen Sie sich eine böse Seite vor, die die Leute dazu ermutigt, Konten zu erstellen. Ein Benutzer erstellt ein Konto von john_doe/xyzzy. Die böse Seite kann jetzt überprüfen, ob diese Anmeldeinformationen auf Amazon.com, ebay.com usw. funktionieren. Ich verwende Google als OpenId-Anbieter und gehe davon aus, dass Google wahrscheinlich keinen solchen kleinen Diebstahl begeht, wenn es sich um einen zufälligen Forenbesitzer handelt könnte.

4
MatthewMartin