Чи краще Open ID, ніж звичайна система LogIn? [зачинено]

Ми розробляємо веб-систему і розглядаємо можливість використання функції Open Id. Чи вважаєте ви, що це краще, ніж звичайний спосіб входу користувачів? Якщо ми використовуємо функцію Open Id, це означає, що користувачі будуть переадресовані на сайт за власним вибором Open Id провайдерів, який би вжив більше заходів. Потім вони повинні увійти туди і повернутись на наш сайт. Чи буде користувачам це зручно?

Примітка. Це скоріше сайт соціальних мереж, але не щось громіздке.

Я люблю OpenID, і це абсолютно краще, ніж "традиційна" метафора облікових даних на сайті. Я не хочу більше керувати даними, і я не хочу довіряти сайту J. Random для зберігання даних, які я надаю безпечно. Я думаю, що користувачам стане зручніше з цим, як це стане звичнішим. Сподіваємось, це стає звичнішим.

Будь ласка, вкажіть, чи ми помиляємось.

Негативні погляди

• Ми вважаємо, що для загальних користувачів це НЕ може бути кращим способом.
• Користувачі, які мають менше технічних знань, подумали б двічі або розгубилися.
• Вони НЕ звикли до цього.
• Вони повинні скористатися відкритим ідентифікатором від певного постачальника, який може їх дратувати.
• Вони можуть ненавидіти це, оскільки вони будуть перенаправлені на інший сайт.
• Вони можуть помилитися!

Позитивні погляди

• Це надійно, тому що ми не просимо їх довіреностей.
• Це швидше після входу.
• "Подолає вигорання облікових даних". Дуже важко відстежити, скільки людей пропускає сайт, оскільки вони відмовляються підтримувати ще одне ім’я користувача / пароль. - Кара мафія

Не забувайте, що це не повинно бути або /, або варіантом. Ви можете (і, мабуть, повинні) додати підтримку OpenID на додаток до традиційних методів входу. Це не відлякує «загальних» користувачів - вони просто використовують існуючий метод, роблячи життя набагато приємнішим для тих, хто використовує OpenID.

OpenID надає низку переваг, головні серед яких дозволяють вам лінуватися з аутентифікацією. Авторизація все ще залишається вашою проблемою, але, принаймні, вам не потрібно так турбуватися про безпечне зберігання облікових даних. На мій погляд, це гарна річ. "Чистий потребує більше" покладаються сторін ", як сервер за замовчуванням.

Якщо ви входите через OpenID, вам потрібно увійти до свого провайдера лише один раз - вдруге, користувач навіть не побачить сторінку провайдера.

Також, можливо, буде цікаво RPXnow .

Я особисто перейшов межу, щоб любити OpenID. Я звик бути стійким до цього від загальної параної. Тепер це просто занадто багато болю в $ $, щоб все було прямо. Я погоджуюсь, що спочатку користувачі, які не користуються технологіями, можуть боротися, але я думаю, що чим ширше це буде, тим комфортнішими будуть люди. Деякі сайти пропонують як традиційну (локальну) систему аутентифікації, так і можливість використання OpenID. Я думаю, що освіта тут дуже допоможе, тож якщо ви чітко поясніть, що таке OpenID та користь, то це піде на довгий шлях до прийняття.

Як технологія єдиного входу (SSO), вона відкрита для загальних ризиків будь-яких SSO. З цього погляду я ще не готовий інтегрувати свій банк чи медичні сайти в нього :) Не те, що вони їм пропонують все одно ...

Я піду за те, що з OpenID ви зазвичай хочете OAuth, який отримує кримінально низьку пресу.

Інші докладно розробили інформацію про OpenID, OAuth додає набір, що інший сайт не тільки знає, ким ви користуєтесь своїм постачальником OpenID, але також може сказати, про що йдеться про вас.

• потрібна електронна пошта для деталей користувача
• потрібні ім’я / прізвище для деталей користувача
• потрібна країна

може бути все добре. Як щодо тих:

• номер соціального страхування
• Номер кредитної карти
• номер телефону
• Поштова адреса

Тож OpenID + OAuth - це чудова комбінація, використовуючи обидва ви не лише єдине місце для збереження імені користувача та пароля, але й там, де ви зберігаєте деталі про себе і не втрачаєте огляд того, який сайт має доступ до відомостей про вас.

Я можу подумати про сценарій, коли OpenID набере багато користувачів на місці. Припустимо, що великий сайт втрачає мільйони паролів користувачів злих хакерів [*], і список витікає. Більшість користувачів піддаються паніці не тільки через один конкретний обліковий запис, а й тому, що вони використовують один і той же логін / пароль для декількох сайтів. І вони роблять. Я знаю, я. І я не стежу за цими обліковими записами, тому виходить, що я ніколи не можу змінити свої паролі .

Тепер, коли я знаю, що лиходій може вкрасти мої рахунки, що я буду робити? Я спробую пройти цю надзвичайну задачу зміни паролів. Або я натрапю на концепцію OpenID і спробую конвертувати всі ці акаунти з нагоди. Це означатиме, що у мене все ще є єдиний логін / пароль для декількох сайтів, але тепер я можу принаймні легко змінити пароль у всіх . І у випадку, якщо злі хакери вкрадуть мій OpenID, у мене є одна проблема - вимагати скидання пароля або принаймні вимкнення акаунта.

[*] - читати: сценарії діти

Чим більше я відвідую різні веб-сайти, тим більше мені потрібна функція єдиного входу.

Кожен веб-сайт вважає своє найважливішим. Кожен веб-сайт наполягає на тому, щоб ви створили обліковий запис, перш ніж робити що-небудь. StackOverflow, Serverfault, Wikipedia, WowWiki, Wowhead, MS Forums, CodeProject, CodePlex, увімкнено і ввімкнено, ...

Усі вони вимагають, щоб я створив унікальне ім’я користувача, пароль і вилку над моєю електронною адресою. Потім вони наполягають на тому, що я йду перевірити свою електронну пошту , перш ніж вони дозволяють мені розміщувати, редагувати, завантажувати, натисніть, коментар, швидкість і т.д. Там немає ні причин , щоб не дозволити мені використовувати свій сайт в той момент , я блукати в нього.

я просто хочу, щоб вони всі заткнулися. Я хочу єдиний логін, який я можу просто використовувати скрізь, з адресою електронної пошти, яка є чорною дірою, тому мені ніколи не доводиться читати їх сміття.

Здається, OpenID є таким. Але це було можливо лише після того, як Google підтримав це. До цього саме власна система входу StackOverflow - вони були ліниві, щоб розмістити себе. Тепер, коли Google підтримує OpenID, можливо, всі вже матимуть її.

Цього дня мені не шкода створювати облікові записи на веб-сайтах і проклинати операторів, які вважають, що мені слід створити акаунт.

Не змушуйте мене також ненавидіти ваш сайт.

Є переваги використання openId з обох сторін: 1. Розробникам не потрібно впроваджувати систему входу (база даних, обробка клієнтів, безпека додатків тощо) 2. Користувачам не потрібно запам’ятовувати додатковий набір облікових даних.

З іншого боку, ви можете налякати деяких користувачів, які насправді не захищені від комп’ютера та будуть неохоче віддавати, скажімо, тетирієві дані Google для входу на ваш сайт.

Найкращим рішенням була б гібридна система, що передбачає як OpenID, так і реєстрацію на місці, але це справді знищить першу користь, яку я згадав.

Інша річ, яку OpenID надає вашим користувачам - це можливість використовувати більш потужні облікові дані. Я бачу певне занепокоєння щодо фішингу у відповідях тут, але ви можете обрати постачальника OpenID, який взагалі не використовує дані, що піддаються фішируванню / повторне відтворення. Наприклад, сертифікати SSL або Інформаційні картки підтримуються деякими постачальниками. myOpenID має те, що вимагає відповіді на телефонний дзвінок, перш ніж ви зможете увійти. Я впевнений, що є й інші сайти, які використовують маркер обладнання.

Так, більшість ваших користувачів, ймовірно, просто натискають кнопку Yahoo і не використовують це. Але це дає їм вибір, і вам не доведеться турбуватися про деталі реалізації. Я стверджую, що легше додати підтримку OpenID на ваш сайт, ніж підтримувати SSL-серти в крос-браузерний спосіб. І це, звичайно, простіше, ніж підтримувати всі сертифікати SSL, інформаційні карти, перевірку телефону, перевірку токенів, DDRpass, випадкову аутентифікацію стереограми з точкою або все, що дурне, що вони думають далі.

Я не намагаюся передумати нікого. Будь ласка, врахуйте ці факти. OpenID - це лише дві речі, що відрізняються від системи автентифікації користувача + пароля:

• місце, де відбувається ваша автентифікація. Якщо ви раніше використовували ім’я + пароль, OpenID змінює місце, де перевіряється пароль. Якщо раніше ви використовували сертифікат, OpenID змінюється там, де перевіряється сертифікат.
• URL-адреса OpenID унікальна для всієї WWW (не враховуючи альтернативні кореневі DNS-адреси)

Що я намагаюся зазначити, це те, що більше нічого не змінюється:

• OpenID не замінює процедуру реєстрації (але може спростити реєстрацію через розширення sREG)
• це не менш безпечно. Якщо раніше користувалися короткими паролями, він знову використовуватиме їх.
• це не означає, що ви не можете мати сотні різних ідентифікаторів для кожного веб-сайту для параноїків.
• це не означає, що " OMG - це технологія виродків, тікай ​​!! ". Ні, ви можете зробити приємні блискучі кнопки, такі як група сайтів StackOverflow для звичайних постачальників OpenID. Це набагато зручніше для користувачів.
• це не означає переспрямування. Ви можете зробити автентифікацію в iframe або окремому вікні браузера.

Це як з будь-якою іншою технологією. Більшість речей, про які люди говорять, - це міф через те, що вони не потребували часу, щоб вивчити це, або тому, що вони використали неправильну реалізацію.

OpenID є складнішим і робить вас залежним від того, щоб інші провайдери не знижувались.

Одна з проблем, з якою має StackOverflow, полягає в тому, що якщо ви входите з іншим OpenId, ніж звичайний, який ви використовуєте, ви втрачаєте свої рейтинги та значки (можливо, вони це вже виправили, не чули). Був один раз, коли я не міг увійти протягом години, тому що мій постачальник не працював.

Я ненавиджу openID, і це було основною причиною НЕ реєструватися на сервері default / stackoverflow Що ж стосується конфіденційності користувачів? Деякі користувачі, як я, надзвичайно параноїдальні і не люблять змішувати інформацію facebook / yahoo / google між різними веб-сайтами

OpenID, хоча приємно концептуально стикається з IMO важкою битвою, оскільки це а) розробникам важко реалізувати і b) важко для користувачів звикнути до концепції використання URL. Наразі шаблон використання імені користувача / пароля досить чітко вписаний.

Тим НЕ менше, подивитися на Clickpass ( www.clickpass.com ). Вони активно намагаються зробити OpenID простішим у використанні.

Удачі.

Ще ні.

Потрібна підтримка браузера. Браузери завершать відмінний досвід роботи з OpenID, оскільки вони можуть керувати вашими особами централізовано і робити речі дуже простими (схоже, веб-сайт, який ви відвідуєте, використовує OpenID, чи хочете ви використовувати http://yahoo.com / користувач, щоб увійти?) та захистити.

Але зараз вам потрібно докласти значних зусиль, щоб зробити OpenID корисним. Як я бачу, вам або потрібно надати OpenID як опцію, або надати власного постачальника OpenID своїм користувачам (змусивши їх безкоштовно користуватися послугою третьої сторони).

Подумайте клієнтів. Ваш цільовий клієнт - вундеркінд? Якщо так, OpenID вразить вашого клієнта та допоможе вашому сайту. Якщо ні, то додаткова робота над тим, щоб зробити це непривабливим для видовищ, збирається витрачати ресурси для доставки вмісту, про який піклується ваш клієнт. Спершу зосередьтеся на наданні цінності споживачеві.

Проблема з OpenID полягає в тому, що чудово підходить для таких речей, як ServerFault, де рівень довіри до особи когось насправді не враховує - коли ви починаєте дбати, там життя ускладнюється.

Це ускладнюється, тому що, коли я контролюю свого постачальника аутентифікації, я імпліцитно довіряю цьому провайдеру, оскільки я його запускаю, і, імовірно, реалізував його до стандарту, який мені потрібно. Коли я переміщую автентифікацію поза моїм контролем, тепер мені належить присвоїти рівень довіри і постачальнику аутентифікації.

За своїм законодавством я не можу довіряти будь-якому великому постачальнику OpenID, оскільки:

• Вони не застосовують періодичні зміни паролів
• Вони не застосовують довжину / складність пароля
• Я не можу перевірити їх практику управління системами

Це далеко не повний перелік.

Щоб змусити OpenID працювати для нетривіальних програм, мені потрібен надійний постачальник - і повинен обмежити своїх користувачів цим довіреним постачальником (або провайдерами). Цей вид перемагає всю перевагу "єдиного імені користувача / пароля". Навіть тоді мені, можливо, доведеться провести певну перевірку ідентичності для користувачів більш високого рівня довіри. Мені здається, що це багато роботи для мене, особливо коли управління власним постачальником аутентифікації - це не ракетна наука.

ІМО, уряди мають потенціал змусити цю технологію працювати. Якщо державний / провінційний DMV або поштовий відділ запропонували послугу, за якою громадяни встановлюють онлайн-облікові дані, доступні через OpenID, ви зможете довірити облікові дані поштового відділення / DMV. (Тому що уряд каже: "Ти нам довіришся") Я вважаю, що такі країни, як Норвегія та Данія, вже видають індивідуальні облікові дані PKI.

Для веб-сайтів у соціальних мережах OpenID допоможе залучити кмітливих технологій. Однак, якщо це ваш єдиний варіант, це відлякує всіх інших. Користувачі звикли підписуватися з новими входами та паролями на кожному сайті. OpenID є новим та зарубіжним, і може змусити користувачів замислитися, чому вони надають свої повноваження третій стороні. Типовому користувачеві OpenID може також сказати GiveMeYourInformationSoICanSpamYou ... це лише ще одна причина, щоб вони сумнівалися в цілісності вашого сайту.

Якщо коротко - визначте свою базу користувачів і або подряпайте OpenID, або використовуйте як OpenID, так і керовану додатком систему входу.

Цікаво, чому люди думають, що openID є більш безпечним. Для кмітливих користувачів це може застосовуватись, але звичайний користувач не помітить різниці між реальним входом на OpenID та підробленим, який зішкребить пароль.
Що ще гірше, вони теж будуть знати, який обліковий запис openID пов’язати з цим паролем, і, ймовірно, можуть заподіяти набагато більший збиток, ніж при простому поєднанні імені користувача / електронної пошти / пароля.

openID - технічне рішення для технічних користувачів і не дуже корисне для звичайних користувачів. Так що для технічних сайтів це може бути процвітаючим, але я не бачу цього для звичайних сайтів найближчим часом.

Я б сказав, що так, OpenID краще, ніж звичайне рішення для входу з точки зору користувача , з цих причин:

• Мені не потрібно пам’ятати ще одне ім’я користувача та пароль для вашого сайту
• Я можу використовувати один ідентифікатор входу для кількох сайтів, якщо хочу
• Я завжди отримую одне і те ж ім’я користувача - без додавання чисел та випадкових лайнів в кінці ідентифікаційних кодів для входу, поки не отримаю безкоштовне
• Користувачі з часом стануть більш популярними та зрозумілими
• Пояснення користувачам того, як це працює і користь для них, досить просте
• Більшість користувачів матимуть безкоштовний обліковий запис електронної пошти від Yahoo або Google, який вони можуть використовувати як постачальника OpenID -> вони, мабуть, навіть не знають, що це можливо.
• Користувачі все ще можуть надати іншу адресу електронної пошти для постачальника OpenID (якщо це безкоштовний Yahoo / gmail / будь-який інший обліковий запис), на який ви можете їх натиснути на посилання, щоб підтвердити, як резервна копія для надсилання електронних листів "забутого мого пароля" або інші сповіщення або маркетингові послуги.

Пам’ятайте, що лише через те, що у вас є опція OpenID, це не означає, що ви також не можете давати користувачам резервну опцію мати традиційне ім'я користувача + пароль у випадку, якщо вони не хочуть використовувати OpenID або не мають постачальник. Нічого поганого в тому, щоб дозволити користувачам обирати те, що вони хочуть, якщо вони знають, і в іншому випадку, дефолт є OpenID , imo :)

Відкрита ідентифікація - одна з тих речей, яку ви або любите, або ненавидите ідею. Я думаю, що вона дійсно зводиться до ідеї, чи бачите ви централізацію "автентичності" з ентузіазмом або скептично.

Іншими словами, коли ви дізнаєтесь, що обліковий запис на відкритому сайті порушений, ви думаєте, "о, ш, т, зараз я потенційно компрометований на кожному сайті, для якого я використовую цей відкритий", або "о добре, зараз я потрібно лише змінити мій пароль для всіх цих сайтів в одному місці ".

Працюючи в цій галузі, ми закінчуємо великою кількістю різноманітної інформації про вхід у систему. OpenID дозволяє мені використовувати вже створений обліковий запис для аутентифікації себе без необхідності налаштування ще одного облікового запису та пароля. Оскільки багато сайтів починають підтримувати OpenID, існує набагато більше варіантів, у якому автентифікатор OpenID ви використовуєте для перевірки вашої особи.

Ви також можете налаштувати власний автентифікатор OpenID на своєму власному сайті, якщо ви не хочете використовувати один із вже існуючих там. Таким чином ви зможете підтримувати більше контролю над тим, яка саме інформація видається, коли ви її автентифікуєте.

Я думаю, що можливість створити обліковий запис або використовувати OpenID для автентифікації - це чудова комбінація, яка охоплює як параноїд безпеки, так і ті, які хочуть простоти використання.

Я думаю, що OpenID чудовий, і ми розглядаємо це для нашого сайту. Однак нам знадобиться oAuth, і ми також хочемо електронної пошти від користувачів. Ми широко використовуємо це, і одне, що ми робимо, - це електронна розсилка. Ми дозволяємо відмовитися від цього, але щоб наша система працювала, ми цього хотіли б.

Здається, існує жорстка група технічних працівників, які ненавидять відмовлятися від користувача / pwd, і я можу це зрозуміти. Деякі є захисниками конфіденційності, і я цілком розумію. Деякі просто ледачі, не хочуть налаштовувати користувача / pwd, деякі - лише користувачі. Вони хочуть отримати інформацію з Інтернету, але ні в якому разі не платять за неї будь-яким способом (рекламою, вартістю тощо). Я думаю, що це меншість людей, оскільки більшість людей розуміє, що їм потрібно внести гроші або платити певним чином .

Вам потрібно вивчити свій сайт, які деталі / інформацію вам потрібні, а потім прийняти рішення, чи відповідає він вашим потребам. Якщо це так, ви можете додати його на додаток до поточного методу входу. Чи потрібно зв’язуватися з людьми, інформувати їх про речі тощо.

Центральний спосіб аутентифікувати себе - це чудово, але, як було сказано, існують проблеми з відсутністю змін / складності пароля. Однак це проблема користувача більше, ніж проблема сайту. На рівні користувача відбувається компроміс, який ми ніколи не вирішимо. Але це означає, що ви, як власник сайту, не несете відповідальності, якщо це відбувається.

Єдина проблема, яку я бачу з OpenID, полягає в наступному:

Уявіть два афілійовані сайти. Обидва вони дозволяють входити в OpenID. Звичайно, вони можуть обмінюватися статистикою активності між собою - скажімо, що я роблю дії X та дії Y на першому сайті, а потім, коли відвідую другий сайт, я бомбардую цільовими оголошеннями, відповідно до моєї діяльності на першому сайті. Чомусь відсутність ізоляції між входами OpenID мені здається трохи неприємним.

Але справа в тому, що максимальна зручність OpenID (одного, сподіваємось, безпечного, набору облікових даних) не затьмарюється вищезгаданим зворотним боком. Я використовую OpenID скрізь, де можу, і коли я розробляв веб-сервіс для загального користування, я б обов'язково змусив його підтримувати OpenID (можливо, із звичайною опцією реєстрації).