Re:OpenID account security

OpenIDの場合はIdentifierがURLなので、ユーザー名の収集は例えばGoogle検索などで行える。

こうして集めたIDに対して実際に辞書アタックなど掛ける事が出来る。 少なくともユーザー名とパスワードでログインが行われる仕組みの場合だとユーザー名が日の目に晒されている状況は余りよろしくない。

対策としては、当たり前な事もあるけど、 1. JOEアカウントを許可しない 2. ブルートフォースアタックの対策としてCAPTCHAを使用する 3. ユーザのIdentifier URLに対するインデックスページを作らない。また検索エンジンにクロールさせない

なるほど。
（JOEアカウントとはユーザ名とパスワードが同じものらしいです）
あとこれも。

で、ログインは、 1. username 2. password だと思うんだけど、これを 1. mailaddress 2. password にしてしまう。