Könnte keine Webanwendung, für die ein OpenID-Login erforderlich ist, mein Passwort nur heimlich speichern und Zugriff auf meine Konten erhalten?
Wenn nicht, warum nicht?
Sie können nicht, da Sie Ihr Passwort nur an Ihren OpenID-Anbieter senden. Es besteht jedoch das Risiko, dass eine Site Sie an einen gefälschten Anbieter sendet , der Ihr Passwort sammelt. Daher ist es wichtig, vor der Eingabe Ihres Passworts zu überprüfen, ob der URI, auf dem Sie sich befinden, korrekt ist.
Der springende Punkt bei Open ID ist, dass Sie zu einer sicheren Website weitergeleitet werden, auf der Sie nach Ihrem Passwort gefragt werden (Ihr Open ID-Anbieter), die dann nur die Informationen, die Sie zulassen, an die Site sendet, auf der die Informationen angefordert werden (z. B. E-Mail-Adresse, Name usw.) .).
Eine ausführliche Erklärung der Funktionsweise finden Sie im Wikipedia-Artikel zu den Vorgängen während des Anmeldevorgangs .
Es ist auch wichtig, die Alternative in Betracht zu ziehen. Es ist bekannt, dass Benutzer Kontonamen und Kennwörter auf den meisten Websites wiederverwenden. Stellen Sie sich eine böse Seite vor, die Menschen dazu ermutigt, Konten zu erstellen. Ein Benutzer erstellt ein Konto von john_doe / xyzzy. Die böse Seite kann jetzt überprüfen, ob diese Anmeldeinformationen auf amazon.com, ebay.com usw. funktionieren. Ich verwende Google als meinen OpenId-Anbieter und gehe davon aus, dass Google wahrscheinlich keinen solchen geringfügigen Diebstahl begeht, wenn es sich um einen zufälligen Forumbesitzer handelt könnte.