Google、Facebook、Twitterのいずれかを使用してログインに接続しているサイトはほとんどありません。それでも彼らは新しいパスワードの作成を求めています。
ユーザーがOpenID/Facebook / Twitter接続を使用しているときに、なぜユーザーは別のパスワードを設定する必要があるのですか?
私が考えることができる1つの必要性:ユーザーが上記のOAuth / OpenId接続サービスプロバイダー(Google / FB / Twitter / ...)のいずれかからアプリを切断した場合、ユーザーがログインするための代替方法として-ベストとして練習。
彼らが行っていることは、フェデレーションに向けた漸進的なステップですが、ベスト プラクティスとは言えません。ID を別のサービスに依存することを完全に受け入れる準備ができていないアプリの場合でも、ID プロバイダーと接続してサインアップ プロセスをスピードアップすることが役立つ場合があります。言い換えれば、サインアップフォームを事前入力するためのメカニズムとして。
ただし、サインオンに使用する場合、ローカル パスワードを使用すると、もう 1 つの潜在的な脆弱性があります。現実には、大多数のユーザーがサイト間でパスワードを再利用しています。そのパスワードは、それを保存する最も脆弱なアプリケーションと同じくらい安全です. 1 つのアプリが侵害され、電子メールとパスワードが復元された場合、攻撃者はそれらのかなりの割合が他の場所での有効なログインであることを知っています。
Google/Facebook/etc とフェデレートするときに行う最善の方法は、ユーザーにパスワードをまったく尋ねないことです。アカウント情報と資格情報を安全に保つために、自分でその責任を負い、アプリが侵害された場合の影響に対処するのではなく、主要な ID プロバイダーを信頼してください。
よろしければ、こちらをお読みください: https://docs.google.com/a/google.com/document/pub?id=1O7jyQLb7dW6EnJrFsWZDyh0Yq0aFJU5UJ4i5QzYlTjU#h.moajj1qnb85l