简而言之,OpenID 是一种开放、分布式的方式,可以在多个网站上重复使用一个身份——通常是用户名和密码(身份验证),但也包括与您的身份相关的其他数据,如姓名、地址和照片。
OpenID 实践
在过去的两年里,人们围绕OpenID以及共同构成Open Stack的相关技术做了大量工作,并取得了很大进展。几乎所有主要网站,Google、Microsoft Live、Facebook、MySpace 以及我们感兴趣的 Hyves 现在都是“发行方”,这意味着在这些网站上拥有账户的人也会自动拥有 OpenID。这是采用的必要条件,现在您还可以看到“依赖方”(您可以使用 OpenID 登录的网站)的数量正在急剧增加。
实例
OpenID 实践Holder的Chris Obdam(照片)解释了 OpenID 到底是什么以及如何使用它。他是荷兰第一家 OpenID 提供商MijnOpenID.nl的创始人,也是 OpenID 基金会的发起人。
除了 OpenID 的登录功能之外,Chris 还介绍了SREG和属性交换,它们允许人们快速轻松地在某个地方注册并根据预先商定的时间表交换更丰富的信息。
然后,他将发言权交给 Routemobiel 的 Victor Küppers,他将研究如何使用 OpenID 简化网站和各种服务的注册。由于许多人都有 Hyves/Google/MSN 帐户,因此现在值得将其整合。 OpenID 的优点是,登录网站时人们必须填写的许多字段(一遍又一遍)都已自动填写,您不必记住用户名和密码。
这是目前公司在其网站、表格和活动网站上使用 OpenID 的主要原因之一。大多数人厌倦了必须注册——部分原因是大多数注册表格都很糟糕——因为这个网站还没有证明其价值。 OpenID 减少了工作量并且使得选择变得更容易,从而带来了更高的转化率。
OpenID 与电话银行和 DigiD 一样安全吗?
OpenID 实践ITSec的Christiaan Roselaar(照片)解释了 OpenID 的安全性以及在实施时需要考虑的事项。
没有所谓的安全,在实施任何系统时,必须考虑您想要保护什么、存在哪些风险以及您愿意接受哪些风险。
他列出了该协议及其实施中的许多问题,其中许多问题并不特定于 OpenID,而是涉及任何形式的在线身份验证,有些甚至是整个互联网的问题。 OpenID 是一个开放系统,任何人都可以按照自己想要的安全级别来实现,因此,一般来说,OpenID 没有什么可说的。有些人认为这是一种弱点,但同时这也是一种优势。
一个相关的问题是,您的 OpenID 提供商知道您何时登录哪些网站,并可以关联和使用该信息。这对于 Google 这样的公司来说非常有价值,也是他们提供 OpenID 的一个有趣原因。
OpenID 也容易受到网络钓鱼的攻击,但实际上每个网络表单和网站都容易受到攻击。所以这并不是什么新鲜事,也不是 OpenID 所特有的,但值得关注(也是 OpenID 社区正在努力解决的事情)。
此外,还有人提出,根本就不存在免费的东西,因此人们不应该信任免费的东西。在 Skype 数据 荷兰,人们在谈论开源和开放标准时经常提到这个论点。显然,荷兰的商业精神不接受不需付款即可提供有价值的东西。在自由生态系统中,有价值的东西是通过非货币价值来创造的,或者通过其他交付或广告来货币化。克里斯·安德森在他的书《免费》中更多地介绍了免费的动态和权衡。
大多数 OpenID 提供商现在都是免费的。任何人都可以建立付费提供商并保证更高级别的安全性。这就是开放联邦技术的优势。
授权在一个最终由社区拥有且免费的开放系统中,也不存在商业世界中传统所理解的补丁和漏洞管理。对此,我们当然要承担责任。例如, OAuth (相关技术)中的一个安全漏洞最近被一个松散的开发人员和公司协会通过广泛合作迅速修补(在Read Write Web上有描述)。这并不是无偿的,因为每个提供帮助的人都希望拥有一个每个人都能信任的开放、安全的在线授权系统。
罗森达尔 (Rosendaal) 指出,OpenID 的主要驱动力是便利性,而便利性往往与安全性背道而驰。 OpenID 通常用于验证关联价值相对较小的网站上的账户,以及分发姓名、地址、性别和出生日期等简单数据。对于这类事情,目前还不需要双因素身份验证。为了这种便利,OpenID 和当前实现目前已经足够了。随着它被越来越广泛地使用和部署到更敏感的数据中,安全级别也需要相应提高。 OpenID 为此提供了便利,但明智地没有从一开始就强制执行它。