Sécurité OpenID

10

Une application Web qui nécessite une connexion OpenID ne pourrait-elle pas simplement stocker secrètement mon mot de passe et accéder à mon ou mes comptes?

Sinon, pourquoi pas?

Willbill
la source

Réponses:

14

Ils ne peuvent pas, car vous envoyez uniquement votre mot de passe à votre fournisseur OpenID. Cependant, il existe un risque qu'un site puisse vous envoyer vers un faux fournisseur qui recueille votre mot de passe, il est donc important de vérifier que l'URI sur lequel vous vous trouvez est correct avant d'entrer votre mot de passe.

Gélatine
la source
10

L'intérêt de l'open ID est qu'il vous emmène sur un site Web sécurisé qui vous demande votre mot de passe (votre fournisseur d'identifiant ouvert), qui n'envoie ensuite que les informations que vous lui permettez au site demandant les informations (par exemple, adresse e-mail, nom, etc. .).

Pour une explication détaillée de son fonctionnement, consultez l'article de Wikipedia sur ce qui se passe pendant le processus de connexion .

Sensé
la source
4

Il est également important de considérer l'alternative. Il est bien connu que les gens réutilisent les noms de compte et les mots de passe sur la plupart des sites. Imaginez un site malveillant qui encourage les gens à créer des comptes. Un utilisateur crée un compte de john_doe / xyzzy. Le site malveillant peut maintenant vérifier si ces informations d'identification fonctionnent sur amazon.com, ebay.com, etc. pourrait.

MatthewMartin
la source