パスワードの再利用が安全でないのにOpenIDが安全であると考えられるのはなぜですか？

TL; DR：OpenIDでパスフレーズを複数回使用していないが、他の当事者（Stack Exchangeなど）がIDプロバイダー（Googleなど）を信頼している）慎重に認証してください。パスフレーズ（または2要素認証、証明書などの他の認証スキーマ）のみがIDプロバイダーに公開されます。

実世界でのID認定

銀行口座の開設、電話契約のサインアップ、または本人確認を必要とするその他のアクションにも、同様の方法がよく使用されます。その会社に直接行きたくない場合は、公証人、郵便局、または銀行代理店を通じて本人確認を行うことができます。これにより、パスポートが確認されます（これはパスフレーズをGoogleに提示するようなものです）。パスポートのコピーを添付せずに、IDを確認したことを確認する証明書（または認証を要求するサードパーティに直ちに渡す）。

OpenID

OpenID（および同様のシングルサインオンテクノロジー）の考え方は、ターゲットサイトでパスフレーズを入力しないことです。たとえば、Googleを使用してStack Exchangeアカウントにログインする場合、Stack Exchangeがパスフレーズを取得することはありませんが、代わりにGoogleにリダイレクトされ、認証されます（おそらく、すでにGoogleにログインしているため、 Stack Exchangeの認証を受けてそこに送り返すかどうかを尋ねられるだけです）。

Stack Exchangeは、いつでもパスフレーズを取得しません。Googleパスフレーズを変更しても、気付かないこともあります。代わりに、Googleは一種の証明書をStack Exchangeに送信し、いくつかのID情報を渡します。これは単なる数値識別子である場合がありますが、メールアドレスなどの追加情報で強化することもできます。

ウィキペディアのワークフローを説明する素晴らしい画像があります：

" OpenIDvs.Pseudo-AuthenticationusingOAuth " by Saqibali-自分の仕事。 Commons 。を介してCC0でライセンス

OAuth

OAuthは、証明書を渡すのではなく、一種のアクセスキーを使用することで、少し異なります。 OAuthを通じてOpenIDの動作をシミュレートするために、IDプロバイダーは認証のみに使用できる単純なサービスを提供します。キーが「適合する」場合、ユーザーは正常に認証されました。

安全保障

いくつかのセキュリティ対策を講じれば、シナリオ全体が安全です。

• 実際のものと似た偽の認証プロバイダー（たとえば、フィッシング攻撃の偽のGoogleページ）にパスフレーズを渡すべきではありません。これは、パスポートを偽の公証人に提供するようなもので、コピーを作成し、それで悪いことを行います。これは、サイトURIの注意深い検証（パスワードマネージャーと自動パスフレーズ検索RIごとにが非常に役立ちます！）と2要素認証などの追加のセキュリティ対策を使用することで軽減できます。

• 証明書は一定期間のみ使用でき、有効なのはサイトごとのみです。たとえば、偽のStack Exchange Webサイトが証明書を取得する可能性があります。ただし、これは「偽のStack Exchange」に対してのみ有効であるため、攻撃者はこれを使用して実際のStack Exchangeまたは他のWebサイトに対する認証を行うことはできません。

  これの実際の実装は、すべてのシングルサインオンテクノロジー間で異なりますが、すべてが同様の方法を実装して、証明書をサードパーティにバインドします。