OpenID基金會：蘋果Sign with Apple未完全標準化，可能提升用戶安全風險

安全標準組織OpenID基金會周末對蘋果發出公開信指出，蘋果隨同iOS 13及iPadOS發表的隱私簽入系統Sign with Apple雖然擁抱了大部份OpenID協定，但終究未完全標準化，不但造成開發人員負擔，也可能提高用戶隱私與安全風險。

OpenID基金會主席Nat Sakimura在對蘋果軟體工程資深副總裁 Craig Federighi的公開信中，首先讚揚蘋果提供以OpenID Connect開發的Sign with Apple，讓iPhone及Mac電腦用戶可安全登入第三方行動和網頁應用。

Open ID Connect是以OAuth 2.0為基礎發展的現代化身份驗證協定，可以標準化方式登入第三方應用程式，OpenID基金會則是OpenID Connect平台的非營利組織，主要成員包括Google、微軟、PayPal及Akamai。

但Sakimura指出，Sign with Apple的實作只「大部份」採用OpenID Connect，致使兩者之間仍然一部份差異。該基金會認為兩者的相異處，將限縮蘋果裝置這項驗證服務的適用場合，也使他們曝露於更高的安全和隱私風險中，此外也對開發商增添不必要的負擔。

OpenID基金會呼籲蘋果應縮小兩者之間的差異，以便與OAuth 2.0用戶端應用程式OpenID Connect Relying Party（OIDC RP）相容、且以OpenID Connect的自主認證測試套件來提升Sign with Apple的相容性和安全性。此外，他也希望蘋果加入OpenID基金會，並且公開宣揚Sign with Apple和OIDC RP軟體的相容性。

蘋果預計在今年秋天發布的iOS 13及iPad OS正式版，加入Sign with Apple技術。對於登記網站或app帳戶的使用者，如果用戶不願意註冊真實電子郵件信箱，系統會產生一個專屬於該app或網站的隨機郵件信箱。這些郵件信箱為蘋果代管，因此一旦app寄送垃圾郵件就會被導向蘋果，這可以阻絕垃圾郵件後患，也可以追查是哪個app或網站將用戶電子郵件外洩給別人。Sign In with Apple還可以結合Face ID或Touch ID驗證，並內建雙因素驗證。蘋果並規定今年秋天起，支援第三方登入工具的app，都必須提供這項功能作為用戶選項。