OpenID 与 OpenID 提供商一样安全(即“如果有人闯入您的 Myspace 帐户,他们就可以访问您的 OpenID 以及使用它的所有内容”)。
就个人而言,我不会相信任何有价值的东西。大多数 OpenID 提供商的安全记录非常糟糕。
虽然我同意 voretaq7 OpenID 仅与 OpenID 提供商一样安全,但我不得不说,在选择要使用的 OpenID 提供商时,必须注意确保您使用的是信誉良好的提供商。同样的想法适用于所有与安全有关的事情。Google、AOL 和我认为甚至 Verisign 现在都提供 OpenID,这些公司/提供商确实拥有良好的记录。
OpenID 相对于本土安全性或其他一些第三方软件包的主要优势之一是,与大多数小型实体相比,它把安全性的身份验证方面交给了拥有更多经验和更多资源来处理它的公司。他们往往有更好的能力来保护他们的服务器和数据。作为一家小商店的员工,我肯定比我更相信谷歌能够正确配置保护这些数据所需的服务器、防火墙等。
然而,OpenID 也同样容易受到最危险的方面——选择弱凭证的用户的影响。
OpenID 是一种将身份验证委托给第三方的方法。对于银行等高度信任的应用程序,您将身份验证委托给谁是一项重大的安全决策。对于任何允许单因素身份验证(openID 身份验证令牌)或将身份验证委托给具有足够身份验证保护措施的系统的标准,openID 协议就足够了。
下一个问题:是否有任何当前的 openID 提供商对于在线银行业务来说足够安全?
这是一个不同的问题,现在可能是否定的。然而,没有什么(技术上的)能阻止一个美国银行财团集中资源创建一个遵循既定标准并经过审计的单一银行 openID 提供商。openID 提供者可以使用它需要的任何身份验证方法,无论是 SiteKey、SecureID、智能卡刷卡,还是其他任何需要的方法。我认为大型商业银行不太可能出现这种可能性,但信用合作社社区可能会尝试一下。
| 归档时间: |
|
| 查看次数: |
696 次 |
| 最近记录: |