Open ID安全吗？

开放ID是否安全，例如，您可以使用它登录银行帐户吗？

OpenID与OpenID提供者一样安全（即“如果有人闯入您的Myspace帐户，他们就可以访问您的OpenID及其使用它的所有内容”）。

就个人而言，我不会相信任何有价值的东西。大多数OpenID提供程序都有非常糟糕的安全记录。

尽管我同意voretaq7的意见，即OpenID仅与OpenID提供程序一样安全，但是我不得不说，在选择要使用的OpenID提供程序时，必须注意确保使用的是信誉良好的提供程序。同样的想法适用于与安全性有关的所有事情。Google，AOL和我认为甚至Verisign现在都提供OpenID，这些公司/提供商的确有良好的记录。

与本地安全或其他第三方软件包相比，OpenID的主要优点之一是，与大多数小型实体相比，它将安全的身份验证方面交给拥有更多经验和更多资源来处理它的公司。他们倾向于具有更好的保护服务器和数据的能力。作为一家小商店的员工，我当然会比其他人更信任Google，以便正确配置保护该数据所需的服务器，防火墙等。

但是，OpenID同样容易受到最危险方面的攻击-选择弱凭据的用户。

OpenID是一种将身份验证委托给第三方的方法。对于像银行这样的高信任度应用程序，将身份验证委派给谁是一个重要的重大安全决策。就目前而言，openID协议对于任何允许单因​​素身份验证（openID身份验证令牌）或委托具有足够身份验证保护措施的系统的身份验证的标准都已足够。

下一个问题：当前的openID提供者是否足够安全用于在线银行业务？

这是一个不同的问题，现在可能是负面的。但是，没有（技术上的）阻止美国银行财团聚集资源来创建遵循既定标准并经过审核的单个银行openID提供程序的过程。该openID提供程序可以使用所需的任何身份验证方法，例如SiteKey，SecureID，智能卡刷卡或其他要求的任何方法。我认为对于主要的商业银行来说，这种可能性不大，但是信用合作社社区可以尝试一下。

OpenID的安全性与（1）您尝试登录的站点中的弱点一样安全；（2）您的OpenID提供者；或（3）DNS系统。

建议：

• 使用银行推荐的安全/登录系统，并了解服务条款和条件，以便在帐户被盗用时了解自己的权利。
• 不要鼓励您的银行采用OpenID，因为这会降低其服务的安全性。

弱点：

这一事实的直接后果是，OpenID的可充其量是为安全的，因为你正试图登录到该网站; 它永远不可能再安全。

在OpenID协议中，重定向到提供者的操作是在您登录的站点的控制下进行的，这将导致小规模的网络钓鱼和中间人攻击。此类攻击将使一个敌对的站点在您不知情的情况下窃取您的OpenID凭据，然后可在以后像您一样使用它们来登录到任何其他启用OpenID的站点。

DNS攻击更为复杂，但可以使攻击者说服您的银行他是您的OpenID提供者。攻击者使用您的OpenID登录，然后让其假冒提供者将授权授予银行。在这种情况下，攻击者无需网络钓鱼或学习您的密码或在计算机上安装任何东西，他所需要的只是您的OpenID。

同样，对您的OpenID提供程序的攻击将使攻击者可以像您一样在任何启用OpenID的站点上登录，而无需知道您的密码。

有关OpenID弱点和攻击的详细信息，请访问http://www.untrusted.ca/cache/openid.html。

OpenID是一个协议。该协议非常安全，但是不一定必须使用backend-auth方法。您可以运行OpenId门户，该门户将通过孟加拉国telnet上的dos框验证用户。

银行安全是否足够？是。实际上，我希望所有银行服务提供商都允许这样做。此外，如果您想比其他技术提供商更信任银行提供商，那么如果他们愿意提供银行服务，那不是很好吗？