Czy Open ID jest lepszy niż zwykły system logowania? [Zamknięte]

Opracowujemy system internetowy i rozważamy użycie funkcji Open ID. Czy uważasz, że jest lepszy niż zwykły sposób logowania użytkowników? Jeśli użyjemy funkcji Open ID, oznacza to, że użytkownicy zostaną przekierowani na wybraną przez siebie dostawcę Open ID, który podjąłby więcej działań. Następnie muszą się zalogować i przekierować z powrotem na naszą stronę. Czy użytkownicy byliby z tym zadowoleni?

Uwaga: jest to raczej serwis społecznościowy, ale nic nieporęcznego.

Uwielbiam OpenID i jest absolutnie lepszy niż „tradycyjna” metafora poświadczeń dla witryny. Nie chcę więcej poświadczeń do zarządzania i nie chcę ufać J. Losowa witryna do przechowywania poświadczeń, które podam bezpiecznie. Myślę, że użytkownicy poczują się bardziej komfortowo, gdy stanie się bardziej powszechny. Mam nadzieję, że stanie się to bardziej powszechne.

Proszę wskazać, czy się mylimy.

Negatywne poglądy

• Uważamy, że dla ogólnych użytkowników NIE może to być preferowany sposób.
• Użytkownicy, którzy mają mniejszą wiedzę techniczną, zastanowiliby się dwa razy lub się zdezorientowali.
• NIE są do tego przyzwyczajeni.
• Muszą skorzystać z otwartego identyfikatora od pewnego dostawcy, co może być dla nich denerwujące.
• Mogą go nienawidzić, ponieważ zostaną przekierowani na inną stronę.
• Mogą źle to zrozumieć!

Pozytywne opinie

• Jest to godne zaufania, ponieważ nie pytamy o ich poświadczenia.
• Po zalogowaniu jest szybszy.
• „Przezwycięża wypalenie poświadczeń”. Bardzo trudno jest ustalić, ile osób pomija witrynę, ponieważ odmawiają zachowania innej nazwy użytkownika / hasła. - Kara Mafia

Nie zapominaj, że nie musi to być opcja /. Możesz (i prawdopodobnie powinien) dodać obsługę OpenID oprócz tradycyjnych metod logowania. Nie odstraszy to „ogólnych” użytkowników - oni po prostu używają istniejącej metody, a jednocześnie znacznie uprzyjemniają życie tym, którzy używają OpenID.

OpenID zapewnia wiele korzyści, w tym przede wszystkim pozwalając na lenistwo przy uwierzytelnianiu. Autoryzacja nadal stanowi problem, ale przynajmniej nie musisz martwić się o bezpieczne przechowywanie poświadczeń. To jest, moim zdaniem, dobra rzecz. „Sieć potrzebuje więcej” stron ufających, takich jak awaria serwera.

Jeśli logujesz się za pomocą OpenID, musisz zalogować się do swojego dostawcy tylko raz - po raz drugi użytkownik nawet nie zobaczy strony dostawcy.

Być może RPXnow będzie interesujący.

Ja osobiście przekroczyłem linię do kochania OpenID. Byłem odporny na to z powodu ogólnej paranoi. Teraz jest to zbyt wielki ból w $$, aby wszystko było proste. Zgadzam się, że użytkownicy niezwiązani z technologią mogą początkowo mieć problemy, ale myślę, że im bardziej rozpowszechniony, tym bardziej wygodni będą ludzie. Niektóre witryny oferują zarówno tradycyjny (lokalny) system uwierzytelniania, jak i opcję korzystania z OpenID. Myślę, że edukacja bardzo pomoże tutaj, więc jeśli jasno wyjaśnisz, czym jest OpenID i jakie są jego zalety, to znacznie przyczyni się do akceptacji.

Jako technologia jednokrotnego logowania (SSO) jest otwarta na ogólne ryzyko związane z dowolnym jednokrotnym logowaniem. Z tego punktu widzenia nie jestem jeszcze gotowy, aby zintegrować z nim mój bank lub strony medyczne :) Nie to, że one i tak oferują ...

Wrzucę to z OpenID, którego zwykle potrzebujesz OAuth, który dostaje kryminalnie niską prasę.

Inni opracowali wystarczająco dużo na temat OpenID, OAuth dodaje do zestawu, że inna strona nie tylko wie, kim jesteś za pośrednictwem swojego dostawcy OpenID, ale możesz także powiedzieć, co dana strona może wiedzieć o tobie.

• potrzebuje adresu e-mail do podania danych użytkownika
• potrzebuje imienia / nazwiska, aby uzyskać dane użytkownika
• potrzebuje kraju

wszystko może być w porządku. A co z tymi:

• numer ubezpieczenia społecznego
• numer karty kredytowej
• numer telefonu
• adres pocztowy

Tak więc OpenID + OAuth to świetna kombinacja, ponieważ korzystając z obu, masz nie tylko jedno miejsce do przechowywania nazwy użytkownika i hasła, ale także miejsce, w którym przechowujesz informacje o sobie i nie tracisz informacji o tym, która strona ma dostęp do jakich szczegółów na Twój temat.

Mogę pomyśleć o scenariuszu, w którym OpenID zyska wielu użytkowników na miejscu. Załóżmy, że główna witryna traci miliony haseł użytkowników do złych hakerów [*], a lista przecieka. Większość użytkowników wpadnie w panikę, nie tylko z powodu jednego konkretnego konta, ale również dlatego, że używają tego samego loginu / hasła do wielu witryn. I robią. Wiem, że tak. I nie śledzę tych kont, więc w rezultacie nigdy nie mogę zmienić haseł .

Teraz, kiedy wiem, że czarny charakter może ukraść moje konta, co mam zrobić? Spróbuję przejść przez to przytłaczające zadanie zmiany haseł. Albo natknę się na koncepcję OpenID i spróbuję przekonwertować wszystkie te konta przy okazji. Oznaczałoby to, że nadal mam jeden login / hasło do wielu witryn, ale teraz mogę przynajmniej łatwo zmienić hasło we wszystkich z nich . W przypadku, gdy hakerzy złych kradną mój OpenID, mam jeden problem z prośbą o zresetowanie hasła lub przynajmniej o wyłączenie konta.

[*] - czytaj: skrypty

Im częściej odwiedzam różne strony internetowe, tym bardziej potrzebuję funkcji pojedynczego logowania.

Każda strona internetowa uważa swoją za najważniejszą. Każda witryna nalega, aby utworzyć konto, zanim będzie można cokolwiek zrobić. StackOverflow, Serverfault, Wikipedia, WowWiki, Wowhead, MS Forums, CodeProject, CodePlex, i tak dalej ...

Wszystkie wymagają, że utworzę, wybierz unikalną nazwę użytkownika, hasło i rozwidlaj mój adres e-mail. Następnie nalegają, żebym sprawdził mój adres e-mail, zanim pozwolę mi pisać, edytować, pobierać, klikać, komentować, oceniać itp. Nie ma powodu, aby nie pozwalać mi korzystać z Twojej witryny, gdy tylko się do niej przejdę.

chcę tylko, żeby wszyscy się zamknęli. Chcę jednego loginu, którego mogę używać wszędzie, z adresem e-mail, który jest czarną dziurą, więc nigdy nie muszę czytać ich śmieci.

Wygląda na to, że OpenID jest taki. Ale było to możliwe tylko wtedy, gdy Google go obsługiwał. Wcześniej był to własny, zastrzeżony system logowania StackOverflow - że byli zbyt leniwi, aby się hostować. Teraz, gdy Google obsługuje OpenID, można sobie wyobrazić, że każdy już go ma.

Obecnie nie chcę tworzyć kont na stronach internetowych i przeklinać operatorów, którzy uważają, że powinienem najpierw założyć konto.

Nie każ mi też nienawidzić twojej witryny.

Obydwie strony korzystają z openId: 1. Programiści nie muszą implementować systemu logowania (baza danych, przetwarzanie klienta, bezpieczeństwo aplikacji itp.) 2. Użytkownicy nie muszą pamiętać dodatkowego zestawu poświadczeń.

Z drugiej strony możesz przestraszyć niektórych użytkowników, którzy tak naprawdę nie są obojętni na komputer i niechętnie zdradzą, powiedz im, swoje dane uwierzytelniające google, aby zalogować się do Twojej witryny.

Najlepszym rozwiązaniem byłby system hybrydowy pozwalający zarówno na rejestrację OpenID, jak i rejestrację na miejscu, ale to naprawdę zrujnowałoby pierwszą korzyść, o której wspomniałem.

Inną rzeczą, którą OpenID zapewnia użytkownikom, jest możliwość używania silniejszych poświadczeń. Widzę pewne obawy dotyczące phishingu w odpowiedziach tutaj, ale możesz wybrać dostawcę OpenID, który w ogóle nie używa danych phishingowych / odtwarzalnych. Na przykład niektórzy dostawcy obsługują certyfikaty SSL lub karty informacyjne. myOpenID ma coś takiego, że wymaga odebrania telefonu przed zalogowaniem się. Jestem prawie pewien, że istnieją inne witryny, które używają tokenów sprzętowych.

Tak, większość użytkowników prawdopodobnie po prostu kliknie przycisk Yahoo i nie będzie go używać. Ale daje im wybór i nie musisz się martwić o szczegóły implementacji. Twierdzę, że łatwiej jest dodać obsługę OpenID do Twojej witryny niż obsługę certyfikatów SSL w przeglądarce. Jest to z pewnością łatwiejsze niż obsługa wszystkich certyfikatów SSL, kart informacyjnych, weryfikacji telefonu, weryfikacji tokena, DDRpass, losowego uwierzytelniania stereogramów punktowych lub jakiejkolwiek zwariowanej rzeczy, o której pomyślą.

Nie próbuję nikogo zmieniać. Proszę wziąć pod uwagę te fakty. OpenID to tylko dwie rzeczy różniące się od systemu uwierzytelniania użytkownika i hasła:

• miejsce, w którym odbywa się uwierzytelnianie. Jeśli wcześniej używałeś nazwy + hasła, OpenID zmienia miejsce, w którym sprawdzane jest hasło. Jeśli używałeś wcześniej certyfikatu, OpenID zmienia się tam, gdzie certyfikat jest sprawdzany.
• URL OpenID jest unikalny dla całej strony WWW (nie biorąc pod uwagę alternatywnych root DNS-ów)

Próbuję wskazać, że nic więcej się nie zmienia:

• OpenID nie zastępuje procedury rejestracji (ale może uprościć rejestrację poprzez rozszerzenie sREG)
• nie jest mniej bezpieczne. Jeśli ktoś używał wcześniej krótkich haseł, użyje ich ponownie.
• nie oznacza to, że nie możesz mieć setek różnych identyfikatorów dla każdej strony internetowej dla osób paranoicznych.
• nie oznacza to, że „ OMG to technologia maniaków, uciekaj !! ”. Nie, możesz tworzyć ładne błyszczące przyciski, takie jak grupa witryn StackOverflow dla popularnych dostawców OpenID. To o wiele bardziej przyjazne dla użytkownika.
• nie oznacza przekierowań. Możesz dokonać uwierzytelnienia w ramce iframe lub w osobnym oknie przeglądarki.

Tak jak w przypadku każdej innej technologii. Większość rzeczy, o których mówią ludzie, to mit, ponieważ nie poświęcili czasu na ich studiowanie lub dlatego, że zastosowali niewłaściwe wdrożenie.

OpenID jest bardziej skomplikowany i sprawia, że ​​jesteś zależny od tego, czy inni dostawcy nie upadną.

Jednym z problemów, jakie ma przy tym StackOverflow, jest to, że jeśli logujesz się przy użyciu innego OpenId niż zwykle, którego używasz, tracisz swoje oceny i odznaki (być może już to naprawiły, nie słyszałem). Kiedyś nie mogłem zalogować się przez godzinę, ponieważ mój dostawca nie działał.

Nienawidzę openID i był to główny powód NIE rejestrowania się przy błędzie serwera / przepełnieniu stosu Co z prywatnością użytkownika? Niektórzy użytkownicy, jak ja, są wyjątkowo paranoiczni i nie lubią mieszać informacji z Facebooka / Yahoo / Google między różnymi stronami internetowymi

OpenID, choć miło pod względem koncepcyjnym, stoi w obliczu IMO pod górę, ponieważ a) jest to trudne dla programistów do wdrożenia i b) trudne dla użytkowników przyzwyczajenie się do koncepcji używania adresu URL. Wzorzec użycia nazwy użytkownika / hasła jest w tym momencie dość mocno zakorzeniony.

To powiedziawszy, spójrz na Clickpass ( www.clickpass.com ). Aktywnie starają się ułatwić korzystanie z OpenID.

Powodzenia.

Jeszcze nie.

Potrzebuje wsparcia przeglądarki. Przeglądarki zapewniłyby użytkownikom doskonałą obsługę dzięki OpenID, ponieważ mogłyby scentralizować zarządzanie twoją tożsamością i uprościć sprawę (wygląda na to, że odwiedzana witryna korzysta z OpenID, czy chcesz korzystać z http://yahoo.com / użytkownik, aby się zalogować?) i zabezpieczyć.

Ale teraz potrzebujesz znacznego wysiłku, aby OpenID był użyteczny. Widzę, że albo musisz podać OpenID jako opcję, albo zapewnić swoim dostawcom OpenID swoim użytkownikom (dzięki czemu mogą swobodnie korzystać z usługi strony trzeciej).

Pomyśl o klientach. Czy Twój klient docelowy jest maniakiem? Jeśli tak, OpenID zrobi wrażenie na twoim kliencie i pomoże twojej witrynie. Jeśli nie, dodatkowa praca polegająca na uczynieniu go nieprzyjaznym maniakiem pozbawi zasoby zasobów dostarczania treści, na których zależy klientowi. Najpierw skoncentruj się na dostarczaniu wartości klientowi.

Problem z OpenID polega na tym, że doskonale sprawdza się w takich przypadkach, jak ServerFault, w którym poziom zaufania do czyjejś tożsamości nie jest tak naprawdę brany pod uwagę - kiedy zaczniesz dbać, tam życie komplikuje się.

To się komplikuje, ponieważ kiedy kontroluję mojego dostawcę uwierzytelniania, domyślnie ufam temu dostawcy, ponieważ go uruchamiam i prawdopodobnie wdrożyłem go do wymaganego standardu. Kiedy przenoszę uwierzytelnianie poza moją kontrolę, muszę teraz przypisać poziom zaufania również dostawcy uwierzytelnienia.

Zgodnie z prawem u mojego pracodawcy nie mogę ufać ŻADNEMU dużemu dostawcy OpenID, ponieważ:

• Nie wymuszają okresowych zmian hasła
• Nie wymuszają długości / złożoności hasła
• Nie mogę kontrolować ich praktyk zarządzania systemami

W żadnym wypadku nie jest to wyczerpująca lista.

Aby OpenID działał w aplikacjach niebanalnych, potrzebuję zaufanego dostawcy - i muszę ograniczyć moich użytkowników do tego zaufanego dostawcy (lub dostawców). Ten rodzaj pokonuje całą zaletę „pojedynczej nazwy użytkownika / hasła”. Nawet wtedy może być konieczne przeprowadzenie weryfikacji tożsamości dla użytkowników o wyższym poziomie zaufania. Wydaje mi się, że to dużo pracy, zwłaszcza gdy zarządzanie własnym dostawcą uwierzytelniania nie jest nauką o rakietach.

IMO, rządy mają potencjał, aby ta technologia mogła działać. Jeśli stanowy / prowincjonalny DMV lub urząd pocztowy oferuje usługę, w ramach której obywatele ustanawiają dane uwierzytelniające online, dostępne za pośrednictwem OpenID, można zaufać poświadczeniom pocztowym / DMV. (Ponieważ rząd mówi: „Ufasz nam”). Wierzę, że kraje takie jak Norwegia i Dania już wydają indywidualne poświadczenia PKI.

W przypadku portalu społecznościowego OpenID pomoże przyciągnąć znawców technologii. Jeśli jednak jest to jedyna opcja, odstraszy wszystkich innych. Użytkownicy są przyzwyczajeni do rejestrowania się przy użyciu nowych loginów i haseł w każdej witrynie. OpenID jest nowy i obcy i może sprawić, że użytkownicy będą się zastanawiać, dlaczego podają swoje dane uwierzytelniające stronie trzeciej. Typowemu użytkownikowi OpenID może równie dobrze powiedzieć GiveMeYourInformationSoICanSpamYou ... to tylko jeden powód, dla którego wątpią w integralność Twojej witryny.

W skrócie - określ swoją bazę użytkowników i zarysuj OpenID lub użyj zarówno OpenID, jak i systemu logowania zarządzanego przez aplikację.

Zastanawiam się, dlaczego ludzie myślą, że openID jest bezpieczniejszy. Może się to zdarzyć dla doświadczonych użytkowników, ale zwykły użytkownik nie zauważyłby różnicy między prawdziwym loginem openID a podrobionym, który zeskrobuje hasło.
Co gorsza, oni również będą wiedzieli, które konto openID skojarzyć z tym hasłem, i prawdopodobnie mogą wyrządzić o wiele więcej szkód niż w przypadku prostej kombinacji nazwy użytkownika / adresu e-mail / hasła.

openID to rozwiązanie techniczne dla użytkowników technicznych i niezbyt pomocne dla zwykłych użytkowników. Więc w przypadku witryn technicznych może się rozkwitać, ale nie widzę tego wkrótce w przypadku zwykłych stron.

Powiedziałbym, że tak, OpenID jest lepszy niż zwykłe rozwiązanie logowania z punktu widzenia użytkownika , z następujących powodów:

• Nie muszę pamiętać kolejnej nazwy użytkownika i hasła do Twojej witryny
• Jeśli chcę, mogę użyć jednego identyfikatora logowania dla wielu witryn
• Zawsze dostaję tę samą nazwę użytkownika - bez dodawania liczb i losowe bzdury na końcu identyfikatorów logowania, dopóki nie otrzymam takiej, która jest darmowa
• Z biegiem czasu będzie coraz bardziej popularny i lepiej rozumiany przez użytkowników
• Wyjaśnienie użytkownikom, jak to działa i jakie są dla nich korzyści, jest dość proste
• Większość użytkowników będzie mieć darmowe konto e-mail od Yahoo lub Google, z którego mogą korzystać jako dostawcy OpenID -> prawdopodobnie nawet nie wiedzą, że jest to możliwe.
• Użytkownicy mogą nadal podawać inny adres e-mail dostawcy OpenID (jeśli jest to darmowe konto yahoo / gmail / cokolwiek), na który można kliknąć link w celu potwierdzenia, jako kopię zapasową wiadomości e-mail „zapomniałem hasła” lub inne powiadomienia lub gumph marketingowe do.

Pamiętaj, że tylko dlatego, że masz opcję OpenID, nie oznacza to, że nie możesz również dać użytkownikom opcji tworzenia kopii zapasowej posiadania tradycyjnej kombinacji nazwy użytkownika i hasła w przypadku, gdy nie chcą oni używać OpenID lub nie mają dostawca. Nie ma nic złego w tym, że użytkownicy mogą wybrać, co chcą, jeśli wiedzą, a poza tym domyślnie OpenID , imo :)

Open ID to jedna z tych rzeczy, które lubisz lub nie znosisz pomysłu - myślę, że sprowadza się to do tego, czy postrzegasz centralizację „autentyczności” entuzjastycznie czy sceptycznie.

Innymi słowy, kiedy dowiadujesz się, że konto w witrynie openid zostało przejęte, czy myślisz: „oh sh! T, teraz jestem potencjalnie zagrożony w każdej witrynie, dla której używam tego openid” lub „oh dobrze, teraz ja muszę tylko zmienić hasło do wszystkich tych witryn w jednym miejscu ”.

W tej dziedzinie powstaje wiele różnych danych logowania. OpenID pozwala mi używać już ustanowionego konta do uwierzytelnienia się bez konieczności konfigurowania kolejnego konta i hasła. Ponieważ wiele witryn zaczyna obsługiwać OpenID, wybór uwierzytelnienia OpenID jest znacznie większy.

Możesz także skonfigurować własny uwierzytelniacz OpenID na swojej stronie, jeśli nie chcesz używać jednego z już istniejących. W ten sposób możesz zachować większą kontrolę nad tym, jakie informacje są przekazywane, gdy są przez Ciebie uwierzytelniane.

Myślę, że możliwość utworzenia konta lub użycia OpenID do uwierzytelnienia to świetna kombinacja, która obejmuje zarówno paranoję bezpieczeństwa, jak i te, które chcą łatwości użycia.

Myślę, że OpenID jest świetny i rozważamy go na naszej stronie. Potrzebowalibyśmy jednak oAuth i chcielibyśmy również wiadomości e-mail od użytkowników. Używamy tego w szerokim zakresie, a jedną z rzeczy, które robimy, jest wysyłanie biuletynu pocztą elektroniczną. Zezwalamy na rezygnację, ale chcielibyśmy, aby nasz system działał.

Wygląda na to, że istnieje grupa rdzennych techników, którzy nie znoszą rezygnować z użytkownika / pwd, i rozumiem to. Niektórzy są zwolennikami prywatności i całkowicie rozumiem. Niektóre są po prostu leniwe, nie chcą konfigurować użytkownika / pwd, niektóre są po prostu chętni. Chcą otrzymywać informacje z Internetu, ale nigdy nie płacą za to w żaden sposób (reklamę, koszty itp.). Myślę, że to mniejszość ludzi, ponieważ większość ludzi rozumie, że muszą wnieść wkład lub w jakiś sposób zapłacić .

Musisz sprawdzić swoją witrynę, jakich szczegółów / informacji potrzebujesz, a następnie podjąć decyzję, czy spełnia ona twoje potrzeby. Jeśli tak, możesz dodać go do bieżącej metody logowania. Czy musisz kontaktować się z ludźmi, informować ich o rzeczach itp.

Centralny sposób na uwierzytelnienie się jest świetny, ale są problemy, jak wspomniano, z brakiem zmian / złożoności hasła. Jest to jednak problem użytkownika bardziej niż problem witryny. Kompromis odbywa się na poziomie użytkownika, którego nigdy nie rozwiążemy. Oznacza to jednak, że jako właściciel witryny nie ponosisz odpowiedzialności w przypadku jej wystąpienia.

Jedyny problem, jaki widzę z OpenID, to:

Wyobraź sobie dwie powiązane witryny. Oba pozwalają na logowanie OpenID. Z pewnością mogą oni dzielić między sobą statystyki aktywności - powiedzmy, że wykonuję akcję X i akcję Y na pierwszej stronie, a następnie, gdy odwiedzam drugą stronę, bombardują mnie ukierunkowane reklamy, zgodnie z moimi działaniami na pierwszej stronie. Z jakiegoś powodu brak izolacji między loginami OpenID wydaje mi się trochę nieprzyjemny.

Ale chodzi o to, że ostateczna wygoda OpenID (jeden, miejmy nadzieję, bezpieczny zestaw poświadczeń) nie zostaje przyćmiona przez wyżej wspomniany minus. Korzystam z OpenID, gdzie tylko mogę i gdybym miał opracować serwis internetowy do użytku publicznego, zdecydowanie powinienem go obsługiwać OpenID (być może z konwencjonalną opcją rejestracji).