我对OpenID的问题在于,任何人都可以建立一个看起来像yahoo / google形式的表单,并指导那里的用户并加密密码。这会影响我作为用户(虽然我可以小心),但它会影响OpenID提供程序。可以做些什么来防止这种情况?除了教育用户查看URL和所有这些。我的意思是防止这种情况的技术方法。
答案 0 :(得分:4)
此问题称为Trusted Path,并且几乎没有很好的解决方案。 Ka-Ping Yee的论文与维基百科的文章相关联,其中包括对它的良好处理。
答案 1 :(得分:3)
这基本上归结为网络钓鱼攻击。除非所涉及的所有认证方之间存在相互协议,否则从技术角度来看,这不容易被阻止。一些银行现在显示用户选择的图像。实际上,银行正试图证明他们是真正的银行(因为他们知道您在注册时选择了什么图像),并且用户正在向银行提供密码以表明他们有权访问该帐户。
答案 2 :(得分:2)
我一直喜欢的一个想法(不仅因为这是我的想法),是你可以通过永远不允许用户拥有自己的密码来解决这个问题。策略是,要登录,用户访问他们想要登录的网站,并请求身份验证令牌。然后通过电子邮件将令牌发送给他们,稍微有效,他们只需点击链接即可登录。
然而,显而易见的问题是:您的电子邮件无法执行此操作。所以,它正在轻微地改变这个问题。但是,如果您通过客户端证书方法{@ 3}}与您的电子邮件提供商或任何人进行身份验证,并提供一些其他的事情(即确保传输登录链接的详细信息)截获等等,这至少是“有趣”的想法。
但是,一般来说,解决问题的方法是:验证交易的双方;即确保您正在与之交谈的网站是您想要的网站,然后再发送任何您关心的网站。
答案 3 :(得分:0)
我没有进入openID身份验证协议,但SSL(是可行的方式,它)使网站可信,浏览器应该真正开始有像google,yahoo,youtube,facebook等使用的网站列表该技术并拒绝在没有获得适当证书的情况下打开网站。
这个解决方案有点超出了你的问题的范围,但也解决了它。因为想想这个......如果StackOverflow开始使用SSL,为什么浏览器应该允许连接到它而不先获得正确的证书?有道理吗?
一项技术,解决了所有问题。