我使用Google,Facebook或Twitter连接登录的网站很少。他们仍在要求创建新密码。
当用户使用OpenID / Facebook / Twitter连接时,为什么用户需要设置另一个密码?
我可以想到一个问题:如果用户将应用与上述任何OAuth / OpenId连接服务提供商(Google / FB / Twitter / ...)断开连接,那么作为用户登录的替代方式 - 作为最佳实践。
答案 0 :(得分:1)
他们正在做的是向联邦迈出的一步,但不是我所描述的最佳做法。对于尚未准备完全接受依赖其他服务进行身份识别的应用程序,有时与身份提供商联系以加快注册过程仍然很有帮助。换句话说,就像预先填充注册表单的机制一样。
但是,如果将其用于登录,则拥有本地密码是另一个潜在的漏洞。实际情况是绝大多数用户只是在网站上重复使用密码。该密码仅与存储它的最弱应用程序一样安全。如果一个应用程序被泄露,电子邮件&密码恢复后,攻击者知道其中很大一部分是有效登录的。
与Google / Facebook / etc联合时最好的办法就是不要求用户提供密码。信任主要身份提供商以保留帐户信息&凭证安全而不是自己承担责任,并在您的应用受到损害时处理后果。
如果你愿意,可以在这里阅读很多:https://docs.google.com/a/google.com/document/pub?id=1O7jyQLb7dW6EnJrFsWZDyh0Yq0aFJU5UJ4i5QzYlTjU#h.moajj1qnb85l