openID有多安全？

OpenID本身的安全性不比传统的用户名+密码登录方式差。

显然，您将安全的很大一部分托付给提供商 - 例如防止暴力破解、密码大小策略等。

例如，不会在网上银行中使用它，不是因为OpenID协议本身不安全，而是因为用例。

高度安全信息

金融信息？国防部绝密？真正安全的信息不会通过互联网提供，只能通过本地网络或VPN访问，这将安全的一部分转移到了网络层。真正真正安全的信息存储在没有网络连接的计算机上...

有一种理论认为，用户只需记住一个用于其OpenID帐户的密码，就有可能选择一个足够强度的密码，而当他们必须记住x个密码时，这种可能性较小。

OpenID在技术上是可靠的，但对一些用户来说可能会感到困惑。我建议浏览此问题的回答。对于非常私密的信息，我建议谨慎使用OpenID，因为：

• 由于登录被广泛和频繁地使用，密码意外泄露的机会更多。特别担心的是，如果另一个启用了OpenID的网站某天要求用户输入其实际密码...有些用户可能会不加思考地输入，而没有意识到他们正在规避OpenID安全模型。

• 如果您对OpenID的安全性存在疑虑，用户也可能存在这些疑虑。从商业角度来看，冒着被视为不安全的风险是否值得呢？（当然，这至少比反过来更好——糟糕的安全被视为安全！）

社交网络等网站提供OpenID登录的趋势越来越明显，但我怀疑我们不会看到它被广泛采用来保护极其敏感的数据。

OpenID本身是安全的，但由于其分散的性质，它通常假定三个服务器是“受信任的”。如果这些服务器不可信，则您的安全性将会受到影响。例如，如果您使用自己的网站作为标识符，但将身份验证委托给第三方提供商，则如果您的网站、身份提供者或消费服务器被入侵，信息就不安全了。如果您想在内部使用OpenID，并仅使用自己的安全服务器作为OpenID提供者，则应该相当安全。但是，如果您希望人们“携带自己的OpenID账户”，那么OpenID并不是正确的选择。

总的来说，OpenID登录方式与普通的用户名/密码认证并没有更安全或更不安全，但有一个重大区别（在我看来）。OpenID允许用户通过多种不同的方式进行登录（如Google、AOL、Yahoo等）。如果有人试图破解它，他们必须攻击每个单独的服务。您可以选择不允许某些服务参与，以防您发现其中某个服务不够安全。