Open ID лучше обычной системы входа в систему? [закрыто]

Мы разрабатываем веб-систему и рассматриваем возможность использования функции Open Id. Как вы думаете, это лучше, чем обычный способ входа пользователей? Если мы используем функцию Open Id, это означает, что пользователи будут перенаправлены на сайт по своему выбору поставщиков Open Id, который будет выполнять больше действий. Затем они должны войти туда и быть перенаправлены обратно на наш сайт. Будет ли пользователям удобно с этим?

Примечание: это скорее сайт социальной сети, но не громоздкий.

Мне нравится OpenID, и он абсолютно лучше, чем "традиционная" метафора учетных данных для каждого сайта. Я не хочу, чтобы управлял другими учетными данными, и не хочу доверять J. Случайному сайту для безопасного хранения учетных данных, которые я предоставляю. Я думаю, что пользователям станет более комфортно с этим, поскольку это становится более обычным. Надеюсь, это станет более распространенным явлением.

Пожалуйста, укажите, если мы не правы.

Негативные взгляды

• Мы думаем, что для обычных пользователей это НЕ может быть предпочтительным способом.
• Пользователи, у которых меньше технических знаний, подумают дважды или запутаются.
• Они НЕ привыкли к этому.
• Они должны использовать открытый идентификатор от определенного поставщика, который может быть раздражающим для них.
• Они могут ненавидеть это, потому что они будут перенаправлены на другой сайт.
• Они могут ошибаться!

Положительные взгляды

• Это заслуживает доверия, потому что мы не просим их полномочия.
• Это быстрее после входа в систему.
• «Преодолевает выгорание учетных данных». Очень сложно отследить, сколько людей пропускают сайт, потому что они отказываются поддерживать еще одно имя пользователя / пароль. - Кара мафия

Не забывайте, что это не обязательно должен быть вариант. Вы можете (и, вероятно, должны) добавить поддержку OpenID в дополнение к традиционным методам входа в систему. Это не отпугнет «обычных» пользователей - они просто используют существующий метод, делая жизнь намного приятнее для тех, кто использует OpenID.

OpenID предоставляет ряд преимуществ, главное из которых позволяет вам лениться при аутентификации. Авторизация по-прежнему ваша проблема, но, по крайней мере, вам не нужно заботиться о безопасном хранении учетных данных. Это хорошая вещь, на мой взгляд. «Сеть нуждается в большем количестве« проверяющих сторон », таких как serverfault.

Если вы входите в систему с OpenID, вам нужно будет войти в систему только один раз - во второй раз пользователь даже не увидит страницу поставщика.

Также, возможно, RPX теперь будет интересным.

Я лично перешел черту любви к OpenID. Я имел обыкновение быть устойчивым к этому от общей паранойи. Сейчас слишком много боли в $$, чтобы все было прямо. Я согласен с тем, что поначалу нетехнические пользователи могут бороться, но я думаю, что чем шире они распространяются, тем комфортнее становятся люди. Некоторые сайты предлагают как традиционную (локальную) систему аутентификации, так и возможность использования OpenID. Я думаю, что образование здесь очень поможет, поэтому, если вы четко объясните, что такое OpenID и его преимущества, это будет иметь большое значение для принятия.

Как технология единого входа (SSO), она открыта для общих рисков любого SSO. С этой точки зрения я еще не готов интегрировать свой банк или медицинские сайты в него :) Не то чтобы они все равно предлагались ...

Я добавлю это с OpenID, вы обычно хотите OAuth, который получает преступно низкий пресс.

Другие достаточно подробно рассказали об OpenID, OAuth добавляет к набору, что другой сайт не только знает, кто вы через вашего OpenID-провайдера, но вы также можете сказать, что сайт может знать о вас.

• нужна электронная почта для деталей пользователя
• необходимо имя / фамилия для деталей пользователя
• нужна страна

может быть все в порядке. Как насчет тех:

• номер социального страхования
• Номер кредитной карты
• номер телефона
• почтовый адрес

Таким образом, OpenID + OAuth - это отличная комбинация, так как при использовании обоих у вас есть не только одно место для хранения имени пользователя и пароля, но и место, где вы храните информацию о себе и не теряете обзор того, какой сайт имеет доступ к каким сведениям о вас.

Я могу подумать о сценарии, когда OpenID получит много пользователей на месте. Предположим, что крупный сайт теряет миллионы паролей пользователей злым хакерам [*], и список пропадает. Большинство пользователей будут в панике не только из-за одной конкретной учетной записи, но и потому, что они используют один и тот же логин / пароль для нескольких сайтов. И они делают. Я знаю, что. И я не отслеживаю эти учетные записи, поэтому в результате я никогда не смогу изменить свои пароли .

Теперь, когда я знаю, что злодей может украсть мои счета, что я буду делать? Я постараюсь справиться с этой непростой задачей смены паролей. Или я наткнусь на концепцию OpenID и попытаюсь конвертировать все эти учетные записи в случае. Это означало бы, что у меня все еще есть один логин / пароль для нескольких сайтов, но теперь я могу, по крайней мере, легко изменить пароль на всех из них . И в случае, если злые хакеры украли мой OpenID, у меня есть единственная проблема - запросить сброс пароля или, по крайней мере, отключить учетную запись.

[*] - читайте: сценарий детишек

Чем больше я посещаю различные веб-сайты, тем больше мне нужна функция единого входа.

Каждый сайт считает их наиболее важными. Каждый веб-сайт настаивает на том, чтобы вы создали учетную запись, прежде чем делать что-либо. StackOverflow, Serverfault, Википедия, WowWiki, Wowhead, форумы MS, CodeProject, CodePlex, и так далее, ...

Все они требуют, чтобы я создал уникальное имя пользователя, пароль и разветвил свой адрес электронной почты. Затем они настаивают на том, что я иду проверить свою электронную почту , прежде чем они позволяют мне размещать, редактировать, загружать, нажмите, комментарий, скорость и т.д. Там нет нет причин , чтобы не позволить мне использовать свой сайт в тот момент , я блуждать в него.

Я просто хочу, чтобы они все замолчали. я хочу один логин, который я могу использовать везде, с адресом электронной почты, который является черной дырой, поэтому мне никогда не придется читать их мусор.

OpenID, кажется, так. Но это стало возможным только после того, как Google поддержал его. До этого это была собственная система входа в систему StackOverflow - они были слишком ленивы, чтобы самим размещаться. Теперь, когда Google поддерживает OpenID, вполне возможно, что он у всех уже есть.

В настоящее время я не хочу создавать учетные записи на веб-сайтах и ​​проклинаю операторов, которые считают, что сначала мне нужно создать учетную запись.

Не заставляй меня ненавидеть твой сайт тоже.

Преимущества использования openId с обеих сторон: 1. Разработчикам не нужно внедрять систему входа в систему (база данных, обработка клиентов, безопасность приложений и т. Д.). 2. Пользователям не нужно запоминать дополнительный набор учетных данных.

С другой стороны, вы можете напугать некоторых пользователей, которые не очень хорошо разбираются в компьютерах и не захотят выдавать свои учетные данные Google для входа на ваш сайт.

Лучшим решением была бы гибридная система, позволяющая как OpenID, так и локальную регистрацию, но это действительно испортило бы первое упомянутое мной преимущество.

Другая вещь, которую OpenID дает вашим пользователям, это возможность использовать более надежные учетные данные. Я вижу некоторую обеспокоенность по поводу фишинга в ответах здесь, но вы можете выбрать провайдера OpenID, который вообще не использует фишинговые / воспроизводимые учетные данные. Например, SSL-сертификаты или информационные карты поддерживаются некоторыми поставщиками. myOpenID требует, чтобы вы ответили на телефонный звонок, прежде чем войти в систему. Я уверен, что есть другие сайты, которые используют аппаратные токены.

Да, большинство ваших пользователей, вероятно, просто нажмут кнопку Yahoo и не будут ее использовать. Но это дает им выбор, и вам не нужно беспокоиться о деталях реализации. Я утверждаю, что проще добавить поддержку OpenID на ваш сайт, чем поддерживать SSL-сертификаты кросс-браузерным способом. И это, безусловно, проще, чем поддерживать все сертификаты SSL, информационные карты, проверку телефона, проверку токена, DDRpass, аутентификацию стереограммы в произвольной точке или любую причудливую вещь, о которой они подумают.

Я не пытаюсь изменить чье-либо мнение. Пожалуйста, учтите эти факты. OpenID - это только две вещи, отличающиеся от системы аутентификации пользователя и пароля:

• место, где происходит ваша аутентификация. Если вы использовали имя + пароль ранее, OpenID меняет место, где проверяется пароль. Если вы использовали сертификат раньше, OpenID меняется там, где проверяется сертификат.
• URL OpenID уникален для всего WWW (не учитывая альтернативные корневые DNS-адреса)

Я пытаюсь указать, что больше ничего не изменилось:

• OpenID не заменяет процедуру регистрации (но может упростить регистрацию через расширение sREG)
• это не менее безопасно. Если кто-то использовал короткие пароли раньше, он будет использовать их снова.
• это не означает, что вы не можете иметь сотни различных идентификаторов для каждого сайта для параноидальных людей.
• это не означает, что « Боже, это технология, беги! ». Нет, вы можете сделать красивые блестящие кнопки, как группа сайтов StackOverflow для обычных поставщиков OpenID. Это намного удобнее для пользователя.
• это не подразумевает перенаправления. Вы можете выполнить аутентификацию в iframe или в отдельном окне браузера.

Это как с любой другой технологией. Большинство вещей, о которых говорят люди, - это миф, потому что они не потратили время на изучение этого или потому, что использовали неправильную реализацию.

OpenID более сложен и делает вас зависимым от других провайдеров, не снижающихся.

Одна из проблем, с которой сталкивается StackOverflow, заключается в том, что если вы входите в систему с другим идентификатором OpenId, чем тот, который вы используете, вы теряете свои рейтинги и значки (возможно, они уже исправили это, еще не слышали). Был один раз, когда я не мог войти в течение часа, потому что мой провайдер не работал.

Я ненавижу openID, и это было основной причиной НЕ регистрироваться на serverfault / stackoverflow. Как насчет конфиденциальности пользователя? Некоторые пользователи, такие как я, крайне параноидальны и не любят смешивать информацию из Facebook / Yahoo / Google между различными сайтами

OpenID в то время как nice концептуально сталкивается с IMO в тяжелом сражении, потому что: а) разработчикам сложно реализовать и б) сложно привыкнуть к концепции использования URL. На этом этапе модель использования имени пользователя и пароля довольно сильно укоренилась.

Тем не менее, посмотрите на Clickpass ( www.clickpass.com ). Они активно пытаются сделать OpenID проще в использовании.

Удачи.

Еще нет.

Нужна поддержка браузера. Браузеры обеспечили бы отличный пользовательский опыт с OpenID, поскольку они могли бы централизованно управлять вашими идентификационными данными и упростить задачу (кажется, что посещаемый вами сайт использует OpenID, вы хотите использовать http://yahoo.com? / пользователь для входа?) и безопасный.

Но сейчас вам нужно приложить немало усилий, чтобы использовать OpenID. Насколько я понимаю, вам нужно либо предоставить OpenID в качестве опции, либо предоставить своего собственного поставщика OpenID своим пользователям (чтобы они могли бесплатно пользоваться услугами третьих лиц).

Думайте клиенты. Ваш целевой клиент - выродок? Если да, OpenID поразит вашего клиента и поможет вашему сайту. Если нет, то дополнительная работа, направленная на то, чтобы сделать его не дружественным для гиков, истощит ресурсы от доставки контента, который волнует ваших клиентов. Сосредоточьтесь на предоставлении ценности для вашего клиента в первую очередь.

Проблема с OpenID заключается в том, что она отлично подходит для таких вещей, как ServerFault, где уровень доверия к чьей-либо личности на самом деле не учитывается - как только вы начнете заботиться, вот где жизнь усложняется.

Это становится сложным, потому что, когда я контролирую своего провайдера аутентификации, я неявно доверяю этому провайдеру, потому что я его запускаю, и, по-видимому, реализовал его в соответствии со стандартом, который мне требуется. Когда я перемещаю аутентификацию за пределы моего контроля, мне теперь нужно также назначить уровень доверия провайдеру аутентификации.

По закону я не могу доверять НИКОМУ основному поставщику OpenID, потому что:

• Они не требуют периодической смены пароля
• Они не обеспечивают длину / сложность пароля
• Я не могу проверить их практики управления системами

Это не исчерпывающий список.

Чтобы заставить OpenID работать для нетривиальных приложений, мне нужен доверенный поставщик - и я должен ограничить своих пользователей этим доверенным поставщиком (или поставщиками). Этот тип побеждает все преимущество "единого имени пользователя / пароля". Даже в этом случае мне, возможно, все же потребуется провести некоторую проверку личности для пользователей с более высоким уровнем доверия. Мне кажется, что это большая работа, особенно когда управление собственным провайдером аутентификации - это не ракетостроение.

ИМО, правительства имеют потенциал, чтобы заставить эту технологию работать. Если DMV штата / провинции или почтовое отделение предложат услугу, где граждане устанавливают учетные данные в Интернете, доступные через OpenID, вы сможете доверять учетным данным почтового отделения / DMV. (Потому что правительство говорит: «Ты будешь нам доверять»). Я считаю, что такие страны, как Норвегия и Дания, уже выдают индивидуальные полномочия PKI.

Для сайта социальной сети OpenID поможет привлечь техническую смекалку. Однако, если это ваш единственный вариант, это отпугнет всех остальных. Пользователи привыкли регистрироваться с новыми логинами и паролями на каждом сайте. OpenID является новым и чужим, и может заставить пользователей задаться вопросом, почему они передают свои учетные данные третьей стороне. Для обычного пользователя OpenID может также сказать GiveMeYourInformationSoICanSpamYou ... это просто еще одна причина, по которой он сомневается в целостности вашего сайта.

Вкратце - определите свою базу пользователей и либо очистите OpenID, либо используйте OpenID и систему входа в систему, управляемую приложением.

Интересно, почему люди думают, что openID более безопасен. Для технически подкованных пользователей это может подойти, но обычный пользователь не обнаружит разницы между реальным логином openID и фальшивым, который взломает пароль.
Хуже того, они также будут знать, какую учетную запись openID связать с этим паролем, и, вероятно, могут нанести гораздо больший ущерб, чем при простой комбинации имени пользователя / адреса электронной почты / пароля.

openID является техническим решением для технических пользователей и не очень полезно для обычных пользователей. Так что для технических сайтов это может процветать, но я не вижу этого для обычных сайтов в ближайшее время.

Я бы сказал, что да, OpenID лучше, чем обычное решение для входа в систему с точки зрения пользователя , по следующим причинам:

• Мне не нужно помнить еще одно имя пользователя и пароль для вашего сайта
• Я могу использовать один логин для нескольких сайтов, если я хочу
• Я всегда получаю одно и то же имя пользователя - без добавления чисел и случайного дерьма в конце идентификаторов входа в систему, пока не получу бесплатный
• Со временем он станет более популярным и понятным для пользователей.
• Объяснить пользователям, как это работает, и преимущества для них довольно просто
• У большинства пользователей будет бесплатная учетная запись электронной почты от Yahoo или Google, которую они могут использовать в качестве поставщика OpenID -> они, вероятно, даже не знают, что это возможно.
• Пользователи по-прежнему могут указывать другой адрес электронной почты для OpenID-провайдера (если это бесплатная учетная запись Yahoo / Gmail / любая другая), которую вы можете попросить щелкнуть по ссылке, чтобы подтвердить, в качестве резервной копии для отправки писем «забыли мой пароль» или другие уведомления или маркетинговая реклама.

Помните, что если у вас есть опция OpenID, это не значит, что вы не можете также предоставить пользователям возможность резервного копирования с использованием традиционной комбинации имени пользователя и пароля в случае, если они не хотят использовать OpenID или не имеют провайдер. Ничего плохого в том, чтобы позволить пользователям выбирать то, что они хотят, если они знают, и в противном случае по умолчанию OpenID , imo :)

Open ID - это одна из тех вещей, которые вы либо любите, либо не любите - я думаю, что это действительно сводится к идее того, с энтузиазмом или скептицизмом вы относитесь к централизации «подлинности».

Другими словами, когда вы обнаруживаете, что учетная запись на сайте openid скомпрометирована, вы думаете: «О, блин, теперь я потенциально скомпрометирован на каждом сайте, для которого я использую этот openid», или «о, хорошо, теперь я Мне нужно только сменить пароль для всех этих сайтов в одном месте. "

Работая в этой области, мы получаем много различной информации для входа в систему. OpenID позволяет мне использовать уже созданную учетную запись для аутентификации, не настраивая еще одну учетную запись и пароль. Поскольку многие сайты начинают поддерживать OpenID, существует гораздо больше выбора, в котором OpenID-аутентификатор используется для проверки вашей личности.

Вы также можете настроить свой собственный аутентификатор OpenID на своем собственном сайте, если вы не хотите использовать один из уже существующих там. Таким образом, вы сможете лучше контролировать, какая именно информация выдается при ее аутентификации.

Я думаю, что возможность создать учетную запись или использовать OpenID для аутентификации - отличная комбинация, охватывающая как параноика безопасности, так и те, которые хотят простоты использования.

Я думаю, что OpenID отличный, и мы рассматриваем его для нашего сайта. Тем не менее, нам понадобится oAuth, и мы бы хотели получать электронную почту от пользователей. Мы широко используем это, и одна вещь, которую мы делаем, - это рассылка по электронной почте. Мы разрешаем отказаться от этого, но чтобы наша система работала, мы бы этого хотели.

Похоже, что есть хардкорная группа техников, которые ненавидят отказываться от пользователя / pwd, и я могу это понять. Некоторые из них являются сторонниками конфиденциальности, и я полностью понимаю. Некоторые просто ленивы, не хотят настраивать пользователя / pwd, некоторые просто берут. Они хотят получать информацию из Интернета, но никогда не платят за нее каким-либо образом (рекламой, стоимостью и т. Д.). Я думаю, что это меньшинство людей, так как большинство людей понимают, что им нужно внести свой вклад или каким-то образом заплатить. ,

Вам необходимо изучить ваш сайт, какие детали / информация вам нужна, а затем принять решение о том, отвечает ли он вашим потребностям. Если это так, вы можете добавить его в дополнение к текущему методу входа. Вам нужно связаться с людьми, сообщить им о вещах и т. Д.

Хорошо иметь централизованный способ аутентификации, но, как уже упоминалось, есть проблемы, связанные с отсутствием смены пароля / сложности. Однако это проблема пользователя больше, чем проблема сайта. На уровне пользователя происходит компромисс, который мы никогда не решим. Но это означает, что вы, как владелец сайта, не несете ответственности, если это произойдет.

Единственная проблема, которую я вижу с OpenID, заключается в следующем:

Представьте себе два дочерних сайта. Оба они позволяют OpenID войти в систему. Конечно, тогда они могут обмениваться статистикой активности друг с другом - скажем, я выполняю действие X и действие Y на первом сайте, а затем, когда я посещаю второй сайт, меня засыпают таргетированной рекламой в соответствии с моей деятельностью на первом сайте. По какой-то причине отсутствие изоляции между логинами OpenID мне кажется немного неприятным.

Но дело в том, что абсолютное удобство OpenID (единого надежного набора учетных данных) не затмевается вышеупомянутым недостатком. Я использую OpenID везде, где могу, и если бы я разрабатывал веб-сервис для общего пользования, я бы определенно сделал так, чтобы он поддерживал OpenID (возможно, с обычным вариантом регистрации).