Isso é o que eu ganhei das respostas aqui ...
O OpenID é tão seguro quanto as partes envolvidas e isso vale para qualquer método de autenticação. Eu percebi isso antes de começar esta discussão.
O problema com o OpenID, como parece para mim, é duplo ...
-
Seu LoginID não é mais um segredo compartilhado apenas entre você e o site em que você o utiliza. É o seu OpenID e é conhecido por todos os sites em que você o utiliza, e é algo facilmente adivinhado como um endereço de e-mail ou algo derivado do seu endereço de e-mail ou algo similar.
-
Os RPs podem implementar o OpenIP em seu site sem fazer a devida diligência desde que eles estejam usando um 'protocolo' amplamente aceito que é seguro. Concedido, a maioria dos desenvolvedores de sites da Web não tem um conceito verdadeiro de como proteger um site, mas, se eles implementarem sua própria segurança, pelo menos o número 1 não entra em ação.
Como consumidor, quando eu crio uma conta no site any-site.com, não tenho noção da inteligência dos desenvolvedores / gerentes do site. Eu uso uma ID que não acho que seja facilmente adivinhada. Eu não quero serverfault.com para saber o ID que eu uso para acessar o Etrade.com. Eu também uso uma senha diferente em cada site e gerencio essas senhas com meu próprio esquema. É altamente improvável que minha conta seja compreendida a menos que os operatores do site sejam idiotas totais.
Com o OpenID, todos na WEB sabem como funciona e como atacá-lo, caso o RP não tenha medidas adequadas.
Eu adoro softwares de código aberto, mas no caso do OpenID eu acho que isso abre a possibilidade de que haverá implementações inferiores disponíveis para os adotantes insuspeitos.
Acho que tudo isso pode ser resolvido com algum selo de aprovação assinado que garante ao consumidor que o site passou por uma auditoria e não pode ser revertido para hacks.
Talvez eu seja apenas paranóico.