Y a-t-il des risques de sécurité associés à l'utilisation d'OpenID comme méthode d'authentification ?

Pour l'utilisateur averti, OpenID est une forme d'authentification plus sécurisée que celle fournie par de nombreux sites Web. Mais qu'est-ce que qu'on entend par un utilisateur averti ? Une personne comme quelqu'un qui est conscient des faiblesses d'OpenID et qui prend des mesures pour les atténuer.

• En maintenant plusieurs persona si on ne souhaite pas que les sites Web puissent nous suivre efficacement.  
• En utilisant différents fournisseurs d'OpenID où l'accès 24h/24 pose un problème 
• En se connectant toujours directement à son fournisseur d'OpenID et ne pas utiliser de tiers fournisseurs

De nombreux sites Web ne savent pas comment conserver en toute sécurité les mots de passe des utilisateurs. Ce qui est vraiment bien avec OpenID, c'est qu'on peut choisir son fournisseur d'OpenID et donc le niveau d'authentification nécessaire pour se connecter. La plupart des fournisseur d'OpenID fournissent des techniques d'authentification beaucoup plus solides que la plupart des sites Web. Je préférerais de loin faire confiance à une organisation spécialisée dans la sécurité avec mon mot de passe qu'à un site Web aléatoire sur le Web. Pour l'utilisateur averti, OpenID peut être plus sécurisé qu'un site Web mettant en œuvre son propre système d'authentification. Cela étant dit, la plupart des utilisateurs ne sont pas conscients des facteurs de risque inhérents à OpenID et ne prendront pas les mesures nécessaires pour atténuer les risques.

• Si son mot de passe OpenID est compromis, tous les sites sur lesquel son utilise OpenID sont compromis. Habituellement, on choisirait un mot de passe différent pour chaque site mais on ne peux pas avec OpenID.
• Le concept de Persona pose aussi un problème. Même si on nous demande avant que des données ne soient envoyées, il ne semble tout simplement imparfait qu'un fournisseur dispose de ces informations et que d'autres services puissent les demander. Comme cela a déjà été mentionné, les données sont envoyées entre un site et le fournisseur d'OpenID et inversement. Chaque fois que des données sont échangées, elles peuvent être compromises. Aucun système n'est sûr à 100 % ; pas même SSL (HTTPS).
  
• Si un fournisseur OpenID est piraté et que le pirate obtient les données de connexion de tous les utilisateurs, pensez à l'impact ! 

 

OpenID convient à quelque chose comme Reddit ou Quora, où si quelqu'un se fait passer pour vous ça n'aura peu d'impact mais utiliser OpenID pour des sites avec un contenu plus sérieux, sur le plan personnel, peut être extrêmement risqué.