Inilah yang saya kumpulkan dari balasan di sini ...
OpenID hanya seaman pihak-pihak yang terlibat dan itu berlaku untuk setiap metode otentikasi. Saya menyadari bahwa sebelum saya memulai diskusi ini.
Masalah dengan OpenID, sepertinya bagi saya adalah dua kali lipat ...
LoginID Anda tidak lagi menjadi rahasia yang dibagikan hanya antara Anda dan situs tempat Anda menggunakannya. Ini adalah OpenID Anda dan dikenal oleh setiap situs tempat Anda menggunakannya, dan ini adalah sesuatu yang mudah ditebak seperti alamat email atau sesuatu yang berasal dari alamat email Anda atau sesuatu yang serupa.
RP dapat mengimplementasikan OpenIP di situs mereka tanpa melakukan uji tuntas dengan asumsi bahwa karena mereka menggunakan 'protokol' yang diterima secara luas maka itu aman. Memang, sebagian besar pengembang situs web run-of-the-mill tidak memiliki konsep sebenarnya tentang cara mengamankan situs tetapi, jika mereka menerapkan keamanan mereka sendiri, setidaknya masalah # 1 tidak ikut berperan.
Sebagai konsumen, Ketika saya membuat akun di any-site.com, saya tidak memiliki gagasan tentang kecerdasan pengembang / pengelola situs. Saya menggunakan ID yang saya pikir tidak akan mudah ditebak. Saya tidak ingin serverfault.com mengetahui ID yang saya gunakan untuk masuk ke Etrade.com. Saya juga menggunakan kata sandi yang berbeda di setiap situs dan mengelola kata sandi itu dengan skema saya sendiri. Sangat tidak mungkin akun saya akan terdiri kecuali operator situs adalah total idiot.
Dengan OpenID, semua orang di WEB tahu cara kerjanya dan cara menyerangnya, seandainya RP tidak memiliki langkah yang tepat.
Saya suka perangkat lunak open source, tetapi dalam kasus OpenID saya pikir itu membuka kemungkinan bahwa akan ada implementasi yang lebih rendah tersedia untuk pengadopsi yang tidak curiga.
Saya pikir ini semua bisa diselesaikan dengan segel persetujuan yang ditandatangani yang meyakinkan konsumen bahwa situs tersebut telah lulus audit dan tidak dapat diretas untuk diretas.
Mungkin aku hanya paranoid.