Đây là những gì tôi đã thu được từ các câu trả lời ở đây ...
OpenID chỉ an toàn như các bên liên quan và điều đó đúng với bất kỳ phương thức xác thực nào. Tôi nhận ra rằng trước khi tôi bắt đầu cuộc thảo luận này.
Vấn đề với OpenID, vì dường như đối với tôi là gấp đôi ...
Đăng nhập của bạn không còn là bí mật chỉ được chia sẻ giữa bạn và trang web bạn sử dụng. Đó là OpenID của bạn và được mọi trang web bạn sử dụng biết đến và là một thứ dễ đoán như địa chỉ email hoặc thứ gì đó có nguồn gốc từ địa chỉ email của bạn hoặc một cái gì đó tương tự.
RP có thể triển khai OpenIP trên trang web của họ mà không cần thận trọng vì cho rằng vì họ đang sử dụng một 'giao thức' được chấp nhận rộng rãi rằng nó an toàn. Cấp, hầu hết các nhà phát triển trang web chạy bộ không có khái niệm thực sự về cách bảo mật trang web, nhưng, nếu họ thực hiện bảo mật của riêng họ, thì ít nhất vấn đề # 1 không xuất hiện.
Là người tiêu dùng, khi tôi tạo một tài khoản trên any-site.com, tôi không có khái niệm về trí thông minh của các nhà phát triển / quản lý trang web. Tôi sử dụng một ID mà tôi không nghĩ sẽ dễ đoán. Tôi không muốn serverfault.com biết ID tôi sử dụng để đăng nhập vào Etrade.com. Tôi cũng sử dụng một mật khẩu khác nhau trên mỗi trang web và quản lý các mật khẩu đó bằng sơ đồ của riêng tôi. Rất có khả năng tài khoản của tôi sẽ được tạo ra trừ khi các nhà điều hành trang web là những kẻ ngốc hoàn toàn.
Với OpenID, mọi người trong WEB đều biết cách thức hoạt động và cách tấn công của nó, nếu RP không có biện pháp thích hợp.
Tôi yêu phần mềm nguồn mở, nhưng trong trường hợp OpenID, tôi nghĩ rằng nó mở ra khả năng sẽ có những triển khai kém hơn cho những người chấp nhận không nghi ngờ.
Tôi nghĩ rằng điều này có thể được giải quyết bằng một số con dấu phê duyệt đã ký đảm bảo với người tiêu dùng rằng trang web đã thông qua kiểm toán và không thể bị tấn công.
Có lẽ tôi chỉ bị hoang tưởng.