作为致力于解决用户身份认证安全问题的专业组织——OpenID,创建于2007年6月。OpenID正在努力为OpenID建立支持,OpenID是一项旨在加强并且简化网络安全的技术,有了这项技术,人们就不再需要在跨越访问不同的网站(包括从社会网络到在线商店)时同时兼顾多个不同的ID。
作为一项开源社区的创新,OpenID提供给用户一个单一的识别号以及密码,用户可以使用识别号以及密码登陆任何支持该项技术的网站。OpenID是被建立在一个分权结构中的,它允许任何人成为OpenID用户或者供应商,而无需提交费用,也不需要进行任何形式的注册和批准,唯一的要求是,用户或者供应商需要严格遵守这项技术的标准框架和原理。因为OpenID利用的是现有的互联网技术,用户可以将现有的身份验证号转换成能在支持OpenID登陆的网站上使用的帐号。
OpenID组织的技术已经引起了很多互联网巨头的关注,并且很多互联网大公司希望与之建立合作管理。Google, IBM公司,微软公司,VeriSign公司和雅虎公司等,都是该组织的股东,这些公司同时还承诺在各自网站上支持OpenID技术。
优点
OpenID承诺将为网站和拥护带来很多好处,其中包括:
简单并且安全地访问网站: 简单的登陆方式(只需要使用一个登录号)减轻了用户的负担,因为通常情况下,用户在访问各种不同的网站时总是要记住不同的身份验证号或者密码。
更好、更安全的密码管理: 因为只需要记住简单的一个登录号,所以用户就能够更好的更加准确的管理他们的密码,这样也相应地降低安全风险。OpenID只要求用户记住一个密码,这样就减除了用户为预防被偷窃而创建的手写的或者电子的密码列表的麻烦。
灵活性增强: 用户们以及公司企业可以尝试根据自己的需求来创建OpenID,只要是符合OpenID验证标准的方式都能够被采用。例如,任何人都可以创建他们自己的身份验证方式并将其部署在我们这个标准的框架中。同样的,用户们也可以遵循OpenID标准创建新的身份验证服务来部署.
稳定性增强: 当一些网络安全战略出现的时候,必然会取代过去几年的网络安全战略。然而OpenID将会是持久的,不会被取代的。因为OpenID是一个开放标准,它不会因为任何一间公司突然改变策略或者突然倒闭而消失。
OpenID存在的瑕疵
虽然OpenID确实有很多优点,不过怀疑者指出OpenID存在的一些缺点可能会延迟甚至破坏OpenID的广泛运用,这些缺点包括:
低采用率:虽然拥有众多互联网巨头的支持,不过OpenID离它的目标还很远――成为全球通用的安全工具。在OpenID的网站上,OpenID组织宣称“OpenID仍然处于试用阶段”。根据该组织最近的统计数据表明,目前有超过10000个网站支持OpenID登陆,这是一个不小的数目了,其中还包括很多热门网站,不过大多数网站仍然不接受OpenID登陆方式。
低认知度:很多网民甚至都没有听说过OpenID这种登陆方式,这种状况将会得到改善,因为这种标准身份验证方式的支持者们已经开始动用他们的人力资源力量。不过就目前而言,OpenID仍然属于一种低认知度标准。
低控制力:OpenID将绝大部分安全责任都转移给了第三方,这样是很方便,但是如果OpenID遭遇某种形式的安全灾难,网站运行者将需要来收拾残局。
密码的脆弱性增加:没有 OpenID的时候,因为身份验证或者密码偷窃带来的损失通常是有限的可以控制的。有OpenID的时候,丢失一个密码就等于把所有的账户密码全都丢失了。
未经考验的技术:因为OpenID目前正在逐渐开始扩大应用范围,现在还说不清楚当钓鱼攻击者和其他互联网黑客开始攻击这种登陆标准及其用户的时候将会有怎样无法想象的安全威胁。
隐私危险:随着应用范围的扩展,会不会开始在他们的网站间共享用户个人资料呢,例如购物和阅读偏好等?这看起来似乎极有可能。一个OpenID用户可以通过采用多重身份验证来避免这种安全风险,然而这样做又破坏了我们的一名用户一个身份验证的标准,同时还可能导致可用性问题。
展望未来
OpenID目前还没有被广泛应用,在这种标准方式成为主流验证方式前我们还有很多重要问题需要解决。另外,考虑到那些互联网巨头对OpenID的支持,我们很难想象OpenID最终不会成为主流身份验证方式。