爲什麼使用電子郵件地址作爲OpenID危險？

Question

Google將電子郵件地址用作OpenID登錄字符串作爲其提供者服務。

我正在閱讀關於他們正在推動將其納入標準的會​​議。微軟反對這一點，「官方」原因是這將會引入安全漏洞。這是假的嗎？如果沒有，爲什麼它不安全？

Answer 1

使用電子郵件地址的一個危險是它是可以猜測的。或者，而不是想要破解你的賬戶的人可能會知道它。

將您的用戶名和您的OpenID提供者可能是任何東西的情況進行比較。也許這是可以猜測的，也許這不是。如果不是這樣，它會讓您的帳戶變得更難一些。

有些人似乎對此有問題。看起來很簡單。我沒有說過一個非顯而易見的用戶名本身就足夠安全。離得很遠。通過默默無聞的安全性根本就沒有安全性。

然而，這是純粹的常識出的是：

1. 有一個不起眼的用戶名的密碼;和
2. 具有不明用戶名的相同密碼。

（1）在最壞的情況下對（2）同樣安全，最好它更安全。

如果您的電子郵件地址是您的密碼，那麼如果您損害某人的電子郵件地址，您可能會損害使用該地址作爲用戶名的每個系統都因「忘記密碼」而更容易受到損害。鏈接和一個地方使用的密碼更有可能用於另一個地方的事實。

對不起，但這只是常識。

Answer 2

這違背了最低限度的披露概念。現在，如果OpenID依賴方想要您的電子郵件地址，他們會要求您提供該地址，並且您將被身份提供商發出警告，並要求您確認。使用電子郵件地址意味着您是否喜歡它，除非您使用的OpenID 2.0可以在每個依賴方的基礎上生成唯一的值。

對於所有的OpenID庫來說，這也將是一個重大變化 - URL是可發現的，你知道它們在哪裏，電子郵件地址不是，這就是爲什麼Google單方面做出這樣的憤慨並且有效分叉OpenID標準來適應自己。

另一個問題在於網絡釣魚。 OpenID對此非常脆弱，因爲用戶信任依賴方在通過提供的OpenID發現它後將其重定向到提供商 - 因此，「惡作劇」的依賴方可能會重定向到一個釣魚網站，該網站會保存OpenID和密碼。使用Google，OpenID和密碼是您的Gmail帳戶和密碼，因此您不僅已經失去了對OpenID的控制權，而且還失去了您的電子郵件帳戶。當然，這可以由提供商保護 - 您可以分開使用電子郵件密碼和OpenID密碼，您可以在OpenID登錄頁面上顯示每個用戶的祕密消息，但正如我們深知用戶是愚蠢的。他們不檢查瀏覽器中的URL，他們在對話框中盲目地單擊確定，他們根本不認爲網頁可能是假的。通過使用電子郵件地址和相同的密碼，Google將大部分用戶暴露給不可接受的風險。