Siempre uso el mismo proveedor OpenID (Google, con un pw único fuerte y autenticación de 2 factores) en todos los sitios que lo admiten, sin pensarlo dos veces. Tengo entendido que, siempre que el proveedor esté seguro, no importa si uno o más de estos sitios se ven comprometidos, el resto de ellos permanecerán seguros.
Sin embargo, un comentario en otra pregunta me pone en duda:
Una parte del problema es que "pierdes" el control de las identidades de tus usuarios, por lo que podrías estar exponiendo tus datos (...). Sin embargo, normalmente un usuario usará su OpenId para varios sitios, algunos de menor seguridad, lo que podría poner en riesgo su identidad en el sitio de mayor seguridad. (Una cuestión de límites de confianza y superficie de ataque). PERO, si quiere mezclar la identidad entre sitios seguros y no tantos, esa podría ser su elección.
He estado leyendo sobre identidades centradas en el usuario y en la empresa y algunos conceptos relacionados , pero no podía entender cómo puede suceder esto. Después de todo, cada Relying Party solo confía en el proveedor de OpenID, no necesariamente uno del otro. La actividad en uno de ellos no será respaldada por el otro, incluso si informa que está vinculada a la misma cuenta de OpenID. Además, la información confidencial en un RP no necesariamente encontrará su camino de regreso al OP, y mucho menos estará disponible para los RP restantes.
Y de todos modos, un sitio (o colección de sitios relacionados) puede crear su propia "persona" independientemente del método de autenticación. StackExchange, por ejemplo, tiene un solo perfil de red que centraliza todas las acciones del mismo usuario en sus muchos sitios, y al mismo tiempo permite que cada usuario se autentique en la misma cuenta a través de muchos proveedores de OpenID (si cualquiera de los proveedores está comprometido, entonces, por supuesto, la cuenta de usuario estará en riesgo, pero no si todos los proveedores están seguros y alguna otra parte de confianza (vinculada a cualquiera de ellos) se comporta mal.
¿Me estoy perdiendo algo? ¿Debo usar diferentes proveedores para los sitios que me importan más o menos, o puedo seguir usando uno solo para todo?
P.S. La primera vez que leí "Acabo de iniciar sesión como tú" y su seguimiento Pensé que era un problema con OpenID, pero después de una lectura cuidadosa comprendí que el problema real al que se enfrentaba Jeff era la reutilización de la contraseña, y además de eso, su cuenta de proveedor aún sería segura. ¿Es correcto, o existe realmente la posibilidad de que una Parte confiada comprometida pueda terminar interfiriendo con el proveedor de OpenID?