OpenID基金會對蘋果發出Sign with Apple終究未徹底標準化

安全標準組織OpenID基金會週末對蘋果發出公開信指出，蘋果隨同iOS 13及iPadOS發表的隱私簽入系統Sign with Apple雖然擁抱了大部份OpenID協議，但終究未徹底標準化，不但形成開發人員負擔，也可能提升用戶隱私與安全風險。OpenID基金會主席Nat Sakimura在對蘋果軟件工程資深副總裁 Craig Federighi的公開信中，首先讚賞蘋果提供以OpenID Connect開發的Sign with Apple，讓iPhone及Mac計算機用戶可安全登入第三方行動和網頁應用。

Open ID Connect是以OAuth 2.0爲基礎發展的現代化身份驗證協議，能夠標準化方式登入第三方應用程序，OpenID基金會則是OpenID Connect平臺的非營利組織，主要成員包括Google、微軟、PayPal及Akamai。但Sakimura指出，Sign with Apple的實做只「大部份」採用OpenID Connect，導致二者之間仍然一部份差別。該基金會認爲二者的相異處，將限縮蘋果裝置這項驗證服務的適用場合，也使他們曝露於更高的安全和隱私風險中，此外也對開發商增添沒必要要的負擔。OpenID基金會呼籲蘋果應縮小二者之間的差別，以便與OAuth 2.0客戶端應用程序OpenID Connect Relying Party（OIDC RP）兼容、且以OpenID Connect的自主認證測試套件來提高Sign with Apple的兼容性和安全性。此外，他也但願蘋果加入OpenID基金會，而且公開宣揚Sign with Apple和OIDC RP軟件的兼容性。

蘋果預計在今年秋天發佈的iOS 13及iPad OS正式版，加入Sign with Apple技術。對於登記網站或app賬戶的用戶，若是用戶不肯意註冊真實電子郵件信箱，系統會產生一個專屬於該app或網站的隨機郵件信箱。這些郵件信箱爲蘋果代管，所以一旦app寄送垃圾郵件就會被導向蘋果，這能夠阻絕垃圾郵件後患，也能夠追查是哪一個app或網站將用戶電子郵件外泄給別人。Sign In with Apple還能夠結合Face ID或Touch ID驗證，並內建雙因素驗證。蘋果並規定今年秋天起，支持第三方登入工具的app，都必須提供這項功能做爲用戶選項。