Ja, das ist ein Problem. Nein, das hat mit OpenID nichts zu tun.
OpenID wurde entwickelt, um ein benutzerfreundlicher Ersatz für E-Mail-basierte Anmeldung zu sein. Es wurde nur entwickelt, um die Usability-Probleme von E-Mail-basierten Logins zu lösen, es wurde nicht entwickelt, um eines der Sicherheitsprobleme von E-Mail-basierten Logins zu lösen.
Wenn es schelmische OpenID-Anbieter gibt, die es Benutzern ermöglichen, Accounts zu erstellen, ohne ihre Identität zu überprüfen, dann ist das ein Problem. Das gleiche Problem gibt es heute auch bei E-Mail-Logins: Wenn E-Mail-Provider Ihnen erlauben, E-Mail-Accounts zu erstellen, ohne Ihre Identität nachzuweisen, können Sie sich mit dieser E-Mail-Adresse in einem beliebigen Forum anmelden.
Dieses Problem wurde jedoch vor langer Zeit für den E-Mail-Fall gelöst: Logins mit E-Mail-Adressen nur von vertrauenswürdigen Anbietern zulassen. Und das gleiche gilt für OpenID: Akzeptiere nur OpenIDs, die von vertrauenswürdigen Anbietern stammen. Wenn sich jemand mit http://John.Doe.VeriSign.Com/
anmeldet, lassen Sie sie herein, und wenn jemand versucht, sich mit http://Any.Nymous.Evil-4aX0rZ.ru/
einzuloggen, lehnen Sie sie ab.
"nur Logins mit E-Mail-Adressen von vertrauenswürdigen Anbietern erlauben". Das ist eine großartige Möglichkeit, eine große Eintrittsbarriere einzuführen. Was ist ein "vertrauenswürdiger" Anbieter überhaupt, wenn Sie Yahoo und Google nicht vertrauen können, weil sie zu viele Spammer Konten registrieren lassen? –
@Frank: Wer sagt etwas über Google und Yahoo, die nicht vertrauenswürdig sind? –
@musicfreak, vielleicht bezieht sich Frank auf die etwas übliche Praxis auf (schlecht geschriebenen) Webseiten, auf denen Mainstream-E-Mail-Anbieter auf der schwarzen Liste stehen. Ich schätze, dass sie erwarten, dass jeder ihre ISP-E-Mail verwendet? Wie auch immer, OpenID-Anbieter sind weit weniger verbreitet.Es scheint, dass die Leute eher mit etablierten OpenID-Anbietern von bekannten Unternehmen wie Google oder Yahoo oder was auch immer gehen. Es ist nicht wie E-Mail, wo es 600000 verschiedene Anbieter gibt. –