Tidak bisakah webapp yang memerlukan login OpenID diam-diam menyimpan kata sandi saya dan mendapatkan akses ke akun saya?
Jika tidak, mengapa tidak?
Mereka tidak bisa, karena Anda hanya mengirim kata sandi ke penyedia OpenID Anda. Namun, ada risiko bahwa suatu situs dapat mengirim Anda ke penyedia palsu yang mengumpulkan kata sandi Anda, jadi penting untuk memeriksa ulang apakah URI yang Anda gunakan benar sebelum memasukkan kata sandi Anda.
Inti dari open ID adalah Anda akan dibawa ke situs web yang aman yang meminta kata sandi Anda (penyedia ID terbuka Anda), yang kemudian hanya mengirimkan informasi yang Anda izinkan ke situs yang meminta informasi (misalnya alamat email, nama, dll. .).
Untuk penjelasan terperinci tentang cara kerjanya, lihat artikel Wikipedia tentang apa yang terjadi selama proses login .
Penting juga untuk mempertimbangkan alternatifnya. Telah diketahui bahwa orang menggunakan kembali nama akun dan kata sandi di sebagian besar situs. Bayangkan sebuah situs jahat yang mendorong orang untuk membuat akun. Seorang pengguna membuat akun john_doe / xyzzy. Situs jahat sekarang dapat memeriksa apakah kredensial tersebut bekerja di amazon.com, ebay.com dll. Saya menggunakan google sebagai penyedia OpenId saya dan saya menganggap google tidak mungkin terlibat dalam pencurian kecil seperti itu, di mana sebagai pemilik forum acak mungkin.