Hey List,<br><br>I&#39;ve been thinking about the security of OpenID lately, dreaming about the day when I&#39;ll be able to use OpenID at my bank&#39;s website.&nbsp; One issue that I keep coming back to is that my OP (or a rogue employee at my OP) could masquerade as me at OpenID-enabled RP&#39;s across the web since the OP is a single authentication point in the OpenID ecosystem.<br>

<br>To mitigate this problem, one idea I have would be to utilize a 2-headed OpenID auth scheme, whereby a &quot;higher security&quot; RP (like my bank) would require OpenID authentication assertions from two separate OP&#39;s.&nbsp; This would preclude somebody at OP #1 from masquerading as me, since any RP would require a second auth from a different OP, outside the control of the first OP.<br>
<br>On the face of it all, this approach would seem to require two different OpenIDs (one for each OP).&nbsp; However, using Yadis/XRDS, one could specify a primary and secondary OP for a particular OpenID.&nbsp; Assuming that the user is logged-in to both OP&#39;s, this dual-auth may even go un-noticed by the user.&nbsp; Of course, an RP could also just allow the user to select two different OP&#39;s to use for auth assertions at login time.&nbsp; <br>
<br>I suppose there are several ways to make this happen, but I&#39;d appreciate any feedback on this idea...<br><br>Thanks!<br><br>David<br><br>