OpenID wird je gerne von diversen Blogs als the-next-big-thing hochgejubelt.

.

Jaja, dezentral etc. Aber wird’s auch richtig verstanden? Klar, Strong Authentication. Aber das ist nicht das Problem. Das Problem sind Phishing & Man-in-the-middle-Angriffe, denn - hat man mal meinen OpenID-Account, stehen einem - Sesam öffne dich - alle meine OpenID-Services zur Verfügung.

Der Beginner’s guide to OpenID phishing berichtet (sehr technisch) über drei unterschiedlich-tiefe Angriffsszenarios. Besonders einfach ist IMHO der Level-3-Angriff, der beinhart auf das schwächste Glied der Kette zielt - den technisch überforderten User.

Siehe auch: OpenID: Phishing Heaven

Popularity: 31% [?]