si inicio sesión con OpenID en un sitio web (diseñado por atacantes / piratas informáticos), quiero saber cuánto daño pueden hacerme.
¿Pueden robar mi información de contacto, nombre, etc. (asumiendo que estoy usando Gmail OpenId)
Si se autentica en otro sitio web con el sistema OpenID de Google, les dirá que la persona que se autentica tiene el control de esa dirección de GMail en particular. A menos que se pongan en línea entre usted y otro sitio, no podrán realizar un ataque MITM. Solo pueden aprovechar efectivamente sus credenciales si pretenden ser su proveedor de identidad y usted coloca su contraseña en el sitio web incorrecto.
Para una visión integral de lo que puede salir mal con OpenID, Google lo dice mejor que yo: enlace
Cuando utiliza un OpenID de Google para iniciar sesión en un sitio (que es, por lo tanto, un "usuario de confianza" o RP de OpenID), el RP solicita diversas formas de información y la obtiene si usted acepta proporcionarla. Google te dice lo que pidieron. Así que sí, el RP puede obtener información de contacto, con su permiso.
Pero el diseño de OpenID está destinado a proteger las cosas más importantes: sus credenciales de autenticación (contraseña o cualquier otra cosa).
No es exactamente la respuesta a la pregunta, pero es bueno darse cuenta de que al registrarse con OpenID, todavía le está confiando a la parte de retransmisión (e-shop, foro, etc.) sus datos personales, y en muchos casos querrán Guárdalo. Así que depende de ellos si protegen a los datos de ser recolectados.
Por ejemplo, recientemente descubrí que una tienda electrónica en la que me registré con OpenID, mi correo electrónico, mi dirección real, mi teléfono, el historial de compras ... estaba "protegida" por una contraseña de 5 dígitos, almacenada en la base de datos. .
Entonces, no caigas en una trampa que al usar OpenID eres intrínsecamente más seguro. OpenID es una gran idea, pero todavía tienes que confiar en todas las partes. Obviamente, tiene que confiar en el proveedor de OpenID, pero también cada vez que se registre en una nueva tienda electrónica, foro o cualquier otro servicio, OpenID les pasará la información para que tenga que preguntarse:
"¿realmente necesitan toda esta información?"
y "¿Están lo suficientemente dispuestos y competentes para mantenerlo seguro?"
Tenga en cuenta que OpenID es un punto único de falla. Si fueron pirateados como RSA Empresa entonces todas las cuentas pueden ser comprometidas. La desventaja es que si usted tiene un problema como la inyección de SQL y solo usa OpenID, entonces un atacante no podría comprometer las cuentas con este tipo de vulnerabilidad.
Lea otras preguntas en las etiquetas passwords authentication openid federation identity