Open ID è migliore del solito sistema di accesso? [chiuso]


23

Stiamo sviluppando un sistema web e stiamo valutando l'utilizzo della funzione Open Id. Pensi che sia meglio del solito modo di accedere agli utenti? Se utilizziamo la funzione Open Id ciò significa che gli utenti verranno reindirizzati al sito di loro scelta dei provider Open Id che intraprenderebbero più azioni. Quindi devono accedere lì e essere reindirizzati al nostro sito. Gli utenti sarebbero a proprio agio con questo?

Nota: si tratta più di un sito di social network ma non di nulla di ingombrante.


3
Questo è completamente soggettivo.
Bill Weiss,

Le risposte qui non sono generalmente applicabili per la creazione di app aziendali, in cui le aziende dispongono già di una propria directory. In questi casi dovresti prendere in considerazione la federazione della tua directory usando WS-Trust o tramite il protocollo Open ID
goodguys_activate

Risposte:


27

Adoro OpenID ed è assolutamente migliore della metafora delle credenziali per sito "tradizionale". Non voglio più credenziali da gestire e non voglio fidarmi del sito J. Random per archiviare le credenziali fornite in modo sicuro. Penso che gli utenti si sentiranno più a suo agio man mano che diventa più banale. Spero che diventi più banale.


Quindi, per ora non lo è?
DragonBorn,

2
Non è cosa? Comune? Non ho visto molti siti utilizzarlo, ma spero che lo faranno di più. Spero che diventi banale e ben accettato dagli utenti. In questo momento, non ho idea se l'utente medio "trsuts" OpenID o meno. Ho la sensazione che la stragrande maggioranza non si preoccupi affatto e farà clic su qualsiasi cosa per ottenere quello che stanno cercando di vedere ...
Evan Anderson,

3
Direi che il problema non è la fiducia, ma piuttosto che il "media" per l'utente finale ha probabilmente mai sentito parlare di OpenID ..
dbr

2
Penso che la "fiducia" sia la soluzione. Per "vendere" OpenID agli utenti dobbiamo dirgli attivamente "Stiamo lasciando che Google / Yahoo / etc gestiscano l'autenticazione e non memorizziamo il tuo nome utente / password sui nostri server ..." È un pensiero positivo-- portare via e gergo tecnico e basta metterlo in relazione con ciò che è buono.
Evan Anderson,

1
@Jim B: mi fido del produttore di app J. Random per fare abbastanza bene l'archiviazione dei miei dati (e se non lo faccio, ne memorizzerò delle copie da solo). L'autenticazione è un problema più difficile, IMO, e preferirei che i "grandi" lo facessero. Detto questo, non so che OpenID sia appropriato per ogni tipo di applicazione. Per l'accesso a siti "casuali", come Server Fault, siti di forum, ecc., Sto bene. Se sto facendo affari, sarei una vendita più difficile su OpenID.
Evan Anderson,

16

Si prega di sottolineare se abbiamo torto.

Visualizzazioni negative

  • Pensiamo che per gli utenti generici NON sia il modo preferibile.
  • Gli utenti che hanno meno conoscenze tecniche potrebbero pensare due volte o confondersi.
  • NON ci sono abituati.
  • Devono avvalersi di un ID aperto da un determinato provider che potrebbe essere fastidioso per loro.
  • Potrebbero odiarlo perché verranno reindirizzati a un altro sito.
  • Potrebbero sbagliare!

Viste positive

  • È affidabile perché non stiamo chiedendo le loro credenziali.
  • È più veloce una volta effettuato l'accesso.
  • "Supera il burnout delle credenziali". È molto difficile tenere traccia di quante persone saltano un sito perché si rifiutano di mantenere un altro nome utente / password. - Kara Mafia

19
Ai professionisti aggiungerei "supera il burnout delle credenziali". È molto difficile tenere traccia di quante persone saltano un sito perché si rifiutano di mantenere un altro nome utente / password. So di essere lì.
Kara Marfia,

Molto vero ... :)
DragonBorn il

1
penso che consenta OpenID. Non farmi saltare attraverso i cerchi per usare il tuo sito. Se insisti che ti do un nome utente / password / e-mail, andrò avanti. Dammi OpenID e almeno lo guarderò.
Ian Boyd,

Vorrei poterlo votare due volte, un giorno qualcosa come openid potrebbe essere utile, ma per ora è solo un'altra PITA per gli utenti.
Jim B,

Jim: Credo di si. :)
DragonBorn,

10

Non dimenticare che non deve essere un'opzione / o. Puoi (e probabilmente dovresti) aggiungere il supporto OpenID oltre ai metodi di login tradizionali. Questo non spaventerà gli utenti "generali": usano semplicemente il metodo esistente, rendendo la vita molto più piacevole per coloro che usano OpenID.


7

OpenID offre una serie di vantaggi, tra cui principalmente quello di farti pigro con l'autenticazione. L'autorizzazione è ancora il tuo problema, ma almeno non devi preoccuparti di archiviare le credenziali in modo sicuro. Questa è una buona cosa secondo me. La "rete ha bisogno di più" parti confidenziali come serverfault.


5

Se accedi con un OpenID, devi accedere al tuo provider solo una volta - la seconda volta, l'utente non vedrà nemmeno la pagina del provider.

Inoltre, forse RPXnow sarà interessante.


4

Personalmente ho oltrepassato il limite amando OpenID. Prima ero resistente alla paranoia generale. Ora è troppo doloroso in un $$ per mantenere tutto dritto. Sono d'accordo sul fatto che gli utenti non tecnologici potrebbero inizialmente lottare, ma penso che più si diffonde e più le persone si sentiranno a proprio agio. Alcuni siti offrono sia un sistema di autenticazione tradizionale (locale) sia la possibilità di utilizzare OpenID. Penso che l'educazione aiuterà molto qui, quindi se spieghi chiaramente cos'è OpenID e quali sono i suoi benefici, ciò contribuirà molto all'accettazione.

Come tecnologia Single Sign On (SSO) è aperta ai rischi generali di qualsiasi SSO. Da quel punto di vista non sono ancora pronto per integrare la mia banca o i miei siti medici :) Non che sia comunque offerto da loro ...


4

Lo spiegherò con OpenID che di solito vuoi OAuth che ottiene una stampa criminalmente bassa.

Altri hanno elaborato abbastanza su OpenID, OAuth aggiunge al set che un altro sito non solo sa chi sei attraverso il tuo provider OpenID, ma puoi anche dire ciò che il sito in questione è autorizzato a conoscere di te.

  • necessita di e-mail per i dettagli dell'utente
  • necessita del nome / cognome per i dettagli dell'utente
  • ha bisogno del paese

potrebbe andare tutto bene. Che ne dici di quelli:

  • numero di Social Security
  • Numero di carta di credito
  • numero di telefono
  • indirizzo postale

Quindi OpenID + OAuth è un'ottima combinazione, usando entrambi non solo hai un unico posto dove conservare un nome utente e una password, ma anche dove conservi i dettagli su di te e non perdi la visione di quale sito ha accesso a quali dettagli su di te.


Adoro OAuth in teoria. In pratica ho trovato pochissima granularità. La maggior parte dei consumatori di OAuth sembra chiedere di poter accedere (leggere e scrivere) a tutti i tuoi dati.
Evan,

I dati di cui stai parlando - e-mail, nome, paese, indirizzo, ecc. - possono essere trasferiti con un'estensione OpenID come Simple Registration (sreg) o Exchange Attribute. La limitazione è che può essere trasferito solo al momento dell'accesso tramite lo user-agent. La cosa che OAuth aggiunge è la possibilità per l'applicazione client e il server di avere una connessione diretta sulla quale il client può effettuare chiamate API senza l'utente presente, il che può essere più utile in alcuni casi. (ad es. vuoi l'indirizzo e-mail quando invii la newsletter, non quando l'utente accede.)
ritorno

3

Posso pensare a uno scenario in cui OpenID otterrà molti utenti sul posto. Supponiamo che un sito importante perda milioni di password degli utenti per hacker malvagi [*] e che l'elenco vada fuori. La maggior parte degli utenti sarà nel panico, non solo a causa di un account specifico, ma perché utilizzano lo stesso login / password per più siti. E lo fanno. Lo so che lo faccio. E non tengo traccia di questi account, quindi il risultato è che non posso mai cambiare le mie password .

Ora, quando saprò che un cattivo può rubare i miei conti, cosa farò? Proverò a superare questo compito schiacciante di cambiare password. O mi imbatterò nel concetto OpenID e proverò a convertire tutti questi account in occasione. Ciò significherebbe che in realtà ho ancora un unico login / password per più siti, ma ora posso almeno cambiare facilmente la password in tutti loro . E nel caso in cui hacker malvagi rubino il mio OpenID ho un solo problema a richiedere la reimpostazione della password o almeno a disabilitare l'account.

[*] - leggi: script kiddies


3

Più visito vari siti Web, più desidero una singola funzionalità di accesso.

Ogni sito web ritiene il loro più importante. Ogni sito web insiste sulla necessità di creare un account prima di poter fare qualsiasi cosa. StackOverflow, Serverfault, Wikipedia, WowWiki, Wowhead, forum MS, CodeProject, CodePlex, e così via, ...

Tutti mi chiedono di creare un nome utente univoco, una password e inserire il mio indirizzo e-mail. Quindi insistono sul fatto che vado a controllare la mia e-mail prima di lasciarmi pubblicare, modificare, scaricare, fare clic, commentare, valutare, ecc. Non c'è motivo di non farmi usare il tuo sito nell'istante in cui ci giro.

voglio solo che tacano tutti. Voglio un unico accesso che posso semplicemente usare ovunque, con un indirizzo e-mail che sia un buco nero, quindi non devo mai leggere la loro spazzatura.

OpenID sembra essere quello. Ma è stato possibile solo dopo che Google lo ha supportato. Prima di allora, era il proprio sistema di login proprietario di StackOverflow - che erano troppo pigri per ospitare se stessi. Ora che Google supporta OpenID, è in realtà concepibile che tutti lo avranno già.

In questi giorni, detesto dover creare account su siti Web e maledire gli operatori che pensano che dovrei prima creare un account.

Non farmi detestare anche il tuo sito.


Umm ... stackoverfow / serverfault non richiede nulla per pubblicare. Provalo: usa un browser o una macchina diversi e visita serverfault e sarai in grado di porre o rispondere alle domande senza registrarti. Se continui a utilizzare lo stesso browser, guadagnerai anche rep e privilegi nel tempo, senza mai dare loro nulla.
Joel Coel,

e non era proprietario di StackOverflow ... Yahoo, Facebook e una miriade di altri lo supportano e lo incoraggiano :)
Warren,

La cosa grandiosa degli standard OpenID è che ce ne sono così tanti tra cui scegliere!
Ian Boyd,

2

I vantaggi dell'utilizzo di openId su entrambi i lati sono vantaggiosi: 1. Gli sviluppatori non devono implementare il sistema di accesso (database, elaborazione client, sicurezza delle app, ecc.) 2. Gli utenti non devono ricordare un set aggiuntivo di credenziali.

D'altra parte potresti spaventare alcuni degli utenti che non sono realmente esperti di computer e saranno riluttanti a rivelare le loro credenziali di Google per accedere al tuo sito.

La soluzione migliore sarebbe un sistema hibrid che consenta sia la registrazione OpenID che quella in loco, ma ciò rovinerebbe davvero il primo vantaggio di cui ho parlato.


hmm, tutti quelli che conosco sono stati felici di dare a Facebook il loro pieno u / p per scaricare la loro rubrica per mandarmi spam 50 volte ...
Mark Henderson

2

L'altra cosa che OpenID offre ai tuoi utenti è la possibilità di utilizzare credenziali più forti. Vedo alcune preoccupazioni sul phishing nelle risposte qui, ma puoi scegliere un provider OpenID che non utilizza affatto credenziali phishable / replayable. I certificati SSL o le schede informative, ad esempio, sono supportati da alcuni provider. myOpenID ha una cosa in cui ti richiede di rispondere a una telefonata prima di poter accedere. Sono abbastanza sicuro che ci sono altri siti che usano token hardware.

Sì, la maggior parte dei tuoi utenti probabilmente farà semplicemente clic sul pulsante Yahoo e non lo utilizzerà. Ma offre loro la scelta e non devi preoccuparti dei dettagli di implementazione. Sostengo che sia più facile aggiungere il supporto OpenID al tuo sito piuttosto che supportare certificati SSL in un modo cross-browser. Ed è certamente più facile che supportare tutti i certificati SSL, le schede informative, la verifica del telefono, la verifica del token, il DDRpass, l'autenticazione stereogramma a punti casuali o qualsiasi altra cosa stravagante a cui pensano dopo.


2

Non sto cercando di cambiare idea a nessuno. Per favore, considera questi fatti. OpenID è solo due cose diverse dal sistema di autenticazione utente + password:

  • luogo in cui avviene l'autenticazione. Se in precedenza hai usato nome + password, OpenID cambia il luogo in cui viene verificata la password. Se hai usato il certificato in precedenza, OpenID cambia dove è selezionato il certificato.
  • L'URL OpenID è univoco per l'intero WWW (senza considerare i DNS radice alternativi)

Quello che sto cercando di sottolineare è che nulla è cambiato:

  • OpenID non sostituisce la procedura di registrazione (ma può semplificare la registrazione tramite l'estensione sREG)
  • non è meno sicuro. Se uno ha usato password brevi prima, le utilizzerà di nuovo.
  • non implica che non si possano avere centinaia di ID diversi per ogni sito Web là fuori per persone paranoiche.
  • non implica " OMG che è la tecnologia geek, scappare !! ". No, puoi creare bei pulsanti lucenti come il gruppo di siti StackOverflow fatto per i comuni provider OpenID. È molto più facile da usare.
  • non implica reindirizzamenti. È possibile effettuare l'autenticazione in iframe o in una finestra del browser separata.

È come con qualsiasi altra tecnologia. La maggior parte delle cose di cui la gente parla è un mito perché non si sono presi del tempo per studiarlo o perché hanno usato un'implementazione sbagliata.


1

OpenID è più complicato e ti rende dipendente dal fatto che gli altri provider non vadano giù.

Uno dei problemi che StackOverflow ha con esso, è che se accedi con un OpenId diverso dal solito che usi, perdi le tue valutazioni e badge (forse hanno risolto questo ormai, non hanno sentito). Una volta non sono riuscito ad accedere per un'ora perché il mio provider era inattivo.


OpenID offre un modo per aggirare il problema: puoi utilizzare un sito Web personale per delegare al tuo vero provider OpenID, quindi se il provider si interrompe, è facile passare a un altro. Ovviamente, questo non è probabilmente il tipo di cosa che la maggior parte dei non-tecnici sta facendo ...
David Z,

1
Non è "complicato", è solo diverso. Con OpenID: "inserisci openid.example.com, fai clic su OK, inserisci la password e sei registrato". Con il sistema attuale: "inserisci il tuo nome utente e password e possibilmente altri dettagli, controlla la tua email, fai clic sul link per attivare il tuo account, infine inserisci nuovamente il tuo login / password". L'uso quotidiano di OpenID è assurdamente semplice e sostanzialmente lo stesso: inserisci OpenID, fai clic su OK, inserisci la password.
dbr

1
Inoltre .. "che se accedi con un OpenId diverso rispetto al solito che usi, perdi le tue valutazioni e badge" - err, se accedi con un altro account, ovviamente perdi i dettagli del tuo account .. stackoverflow / serverfault ti consente di utilizzare più account OpenID e OpenID ti consente di utilizzare il tuo sito personale come provider OpenID o come "proxy" per uno o più (bene, un delegato), come ha detto David
dbr

2
"OpenID fornisce un modo per aggirare il problema: puoi utilizzare un sito Web personale per delegare al tuo vero provider OpenID, quindi se il provider si interrompe, è facile passare a un altro" Ho scoperto che non è proprio il Astuccio. La maggior parte dei "consumatori" di OpenID con cui ho avuto a che fare è memorizzare l'URL OpenID reindirizzato (o canonico), non quello che stava delegando.
Evan,

1
(Ho appena controllato, e questo include StackOverflow.) Molti utenti OpenID ti consentono di collegare più di un ID allo stesso account, che posso vedere utile.
Evan,

1

Odio openID ed è stato il motivo principale per NON registrarsi a serverfault / stackoverflow E la privacy degli utenti? Alcuni utenti, come me, sono estremamente paranoici e non amano mescolare informazioni facebook / yahoo / google tra vari siti Web


2
-1 OpenID non condivide informazioni tra i siti Web che lo utilizzano.
David Z,

1
lo so, ma non do la mia e-mail a nessuno. Uso posta usa e getta ovunque, e se un sito web blocca la posta usa e getta, non otterranno la mia iscrizione. Usando openid = usando la mia vera posta = odio così tanto
Magnetic_dud,

1
Non dimenticare che, grazie a OpenID, anche l'account di Jeff Atwood è stato violato. codinghorror.com/blog/archives/001263.html
Magnetic_dud

5
Mag_Dude .. L'account SO di Atwood è stato violato perché ha usato la stessa password su un sito non sicuro come ha fatto sul suo account Openid. Il ragazzo ha decifrato la sua password sul sito insicuro, quindi ha controllato il suo account openid per vedere se era lo stesso, e lo era.
tomjedrz,

2
@Magnetic_dud: i siti client OpenID come StackOverflow / Serverfault non possono rubare le tue credenziali con un falso prompt di accesso. Tutto ciò che ottengono è il tuo nome OpenID , ma non è né il tuo nome utente né la tua password. L' unico posto in cui inserisci il tuo nome utente / password è il tuo provider OpenID scelto originale. L'unico rischio qui è che il tuo provider OpenID originale venga violato o impazzito, e preferirei fidarmi di qualcuno per il quale mantenere le credenziali è la competenza principale per farlo nel modo giusto che una manciata di siti web casuali, e uno dei quali potrebbe fare un errore.
Joel Coel,

1

OpenID, anche se simpatico, concettualmente affronta l'IMO in una battaglia in salita perché è a) difficile da implementare per gli sviluppatori eb) difficile per gli utenti abituarsi al concetto di usare un url. A questo punto il modello di utilizzo di nome utente / password è piuttosto radicato.

Detto questo, dai un'occhiata a Clickpass ( www.clickpass.com ). Stanno attivamente cercando di rendere OpenID più facile da usare.

In bocca al lupo.


Mi piace il fatto che serverfault fornisca icone grandi e cliccabili per il più comune che fa tutto il lavoro per te!
Mark Henderson

1

Non ancora.

Ha bisogno del supporto del browser. I browser completerebbero un'ottima esperienza utente con OpenID, in quanto potrebbero gestire le tue identità in modo centralizzato e rendere le cose molto semplici (sembra che il sito web che stai visitando stia usando OpenID, vuoi usare http://yahoo.com / utente per accedere?) e sicuro.

Ma in questo momento, è necessario uno sforzo significativo per rendere utilizzabile OpenID. A mio avviso, devi fornire OpenID come opzione o fornire il tuo provider OpenID ai tuoi utenti (rendendoli liberi di utilizzare un servizio di terze parti).


1

Pensa ai clienti. Il tuo cliente target è un fanatico? In caso affermativo, OpenID impressionerà il tuo cliente e aiuterà il tuo sito. In caso contrario, il lavoro extra per renderlo non-geek sarà drenare le risorse dalla fornitura di contenuti a cui il tuo cliente tiene. Concentrati prima di offrire valore ai tuoi clienti.


1

Il problema con OpenID è che è ottimo per cose come ServerFault in cui il livello di fiducia nell'identità di qualcuno non è in realtà una considerazione - una volta che inizi a preoccuparti, è lì che la vita diventa complicata.

Diventa complicato, perché quando controllo il mio provider di autenticazione, mi fido implicitamente di quel provider perché lo eseguo e presumibilmente lo ho implementato allo standard richiesto. Quando sposto l'autenticazione al di fuori del mio controllo, ora devo assegnare un livello di attendibilità anche al provider di autenticazione.

Dal mio datore di lavoro, per legge, non posso fidarmi di QUALUNQUE importante fornitore OpenID là fuori perché:

  • Non applicano modifiche periodiche della password
  • Non impongono lunghezza / complessità della password
  • Non riesco a controllare le loro pratiche di gestione dei sistemi

Questo non è un elenco completo in alcun modo.

Per far funzionare OpenID per applicazioni non banali, ho bisogno di un provider attendibile e devo limitare i miei utenti a quel provider (o provider) fidato. Quel tipo di sconfigge l'intero vantaggio del "singolo nome utente / password". Anche allora, potrei aver ancora bisogno di fare una verifica dell'identità per gli utenti con livelli di fiducia più elevati. Mi sembra un sacco di lavoro, soprattutto quando gestire il proprio provider di autenticazione non è scienza missilistica.

IMO, i governi hanno il potenziale per far funzionare questa tecnologia. Se un DMV statale / provinciale o l'ufficio postale offrissero un servizio in cui i cittadini stabiliscono le credenziali online, accessibili tramite OpenID, potreste fidarvi delle credenziali dell'ufficio postale / DMV. (Perché il governo dice: "Ti fiderai di noi") Credo che paesi come la Norvegia e la Danimarca stiano già fornendo credenziali PKI individuali.


2
Sai, potresti costruire un provider OpenID che fa tutto ciò. Forse addebitare il servizio e commercializzarlo ai dipendenti pubblici come un segno sicuro, legale, unico, compatibile con il Web più grande.
Joel Coel,

Questo è un prodotto che farebbe oscillare, ma smorza anche l'intero concetto OpenID.
duffbeer703,

1

Per un sito di social network, OpenID contribuirà ad attirare gli esperti di tecnologia. Tuttavia, se questa è la tua unica opzione, spaventerà tutti gli altri. Gli utenti sono abituati a registrarsi con nuovi accessi e password su ciascun sito. OpenID è nuovo e straniero e può far pensare agli utenti perché stanno cedendo le loro credenziali a terzi. Per un tipico utente, OpenID potrebbe anche dire GiveMeYourInformationSoICanSpamYou ... è solo un motivo in più per dubitare dell'integrità del tuo sito.

In breve: determinare la base utenti e grattare OpenID o utilizzare sia OpenID sia un sistema di accesso gestito dall'applicazione.


1

Mi chiedo perché la gente pensi che openID sia più sicuro. Per gli utenti esperti di tecnologia, questo potrebbe applicarsi, ma un utente comune non individuerebbe la differenza tra un vero login openID e uno falso che cancellerà la password.
Ancora peggio, anche loro sapranno quale account openID associare a questa password e probabilmente possono causare molti più danni rispetto a una semplice combinazione nome utente / email / password.

openID è una soluzione tecnica per utenti tecnici e non molto utile per gli utenti ordinari. Quindi per i siti tecnici potrebbe fiorire, ma non lo vedo presto per i siti ordinari.


1

Direi che sì, OpenID è migliore della solita soluzione di accesso dal punto di vista dell'utente , per questi motivi:

  • Non devo ricordare ancora un altro nome utente e password per il tuo sito
  • Posso usare un ID di accesso per più siti, se lo desidero
  • Ricevo sempre lo stesso nome utente, senza aggiungere numeri e schifezze casuali alla fine degli ID di accesso fino a quando non ne ottengo uno gratuito
  • Con il passare del tempo diventerà più popolare e meglio compreso dagli utenti
  • Spiegare agli utenti come funziona e i vantaggi per loro è piuttosto semplice
  • La maggior parte degli utenti disporrà di un account e-mail gratuito da Yahoo o Google che può utilizzare come provider OpenID -> probabilmente non sanno nemmeno che sia possibile.
  • Gli utenti possono comunque fornire un indirizzo e-mail diverso a quello del provider OpenID (se si tratta di un account yahoo / gmail / qualunque gratuito) in cui è possibile fare clic su un collegamento per confermare, come backup per l'invio di e-mail "password dimenticata" o altre notifiche o informazioni di marketing a.

Ricorda che solo perché hai l'opzione di OpenID non significa che non puoi anche dare agli utenti l'opzione di backup di avere una combinazione nome utente + password tradizionale nel caso in cui non vogliano usare OpenID o non abbiano un fornitore. Nulla di sbagliato nel lasciare che gli utenti scelgano ciò che vogliono se lo sanno, e altrimenti passano a OpenID , imo :)


1

Open ID è una di quelle cose che ami o detesti l'idea - penso che si riduca davvero all'idea se vedi la centralizzazione dell '"autenticità" con entusiasmo o scetticismo.

In altre parole, quando scopri che un account su un sito openid è compromesso, pensi "oh sh! T, ora sono potenzialmente compromesso su ogni sito per cui uso quell'openid" o "oh bene, ora io devo solo cambiare la mia password per tutti quei siti in un unico posto ".


0

Lavorando in questo campo finiamo con molte informazioni sulle credenziali di accesso. OpenID mi consente di utilizzare un account già stabilito per autenticarmi senza dover configurare un altro account e password. Con molti siti che iniziano a supportare OpenID, esiste una scelta molto più ampia di quale autenticatore OpenID utilizzi per convalidare la tua identità.

Puoi anche configurare il tuo autenticatore OpenID sul tuo sito se non vuoi usare uno di quelli già esistenti. In questo modo puoi mantenere un maggiore controllo su quali informazioni vengono fornite quando ne sei autenticato.

Penso che avere la possibilità di creare un account o utilizzare OpenID per l'autenticazione sia un'ottima combinazione che copre sia la sicurezza paranoica che quelli che desiderano la facilità d'uso.


0

Penso che OpenID sia eccezionale e lo stiamo prendendo in considerazione per il nostro sito. Tuttavia, avremmo bisogno di oAuth e vorremmo ricevere l'e-mail anche dagli utenti. Lo usiamo ampiamente e una cosa che facciamo è inviare una newsletter via e-mail. Permettiamo di rinunciarci, ma per il nostro sistema funzionerebbe, lo vorremmo.

Sembra che ci sia un duro gruppo di tecnici che odiano rinunciare a un utente / pwd, e posso capirlo. Alcuni sono sostenitori della privacy e capisco perfettamente. Alcuni sono semplicemente pigri, non vogliono impostare un utente / pwd, altri sono solo acquirenti. Vogliono ottenere informazioni da Internet, ma non pagarle mai in alcun modo, in alcun modo (pubblicità, costi, ecc.) Penso che sia una minoranza di persone poiché la maggior parte delle persone capisce che devono contribuire o rimborsare in qualche modo .

Devi esaminare il tuo sito, quali dettagli / informazioni hai bisogno e poi decidere se soddisfa le tue necessità. In tal caso, è possibile aggiungerlo in aggiunta al metodo di accesso corrente. Hai bisogno di contattare persone, informarle di cose, ecc.

Avere un modo centrale per autenticarti è fantastico, ma ci sono problemi, come detto, con una mancanza di modifiche / complessità della password. Tuttavia, si tratta di un problema utente più che di un problema del sito. Un compromesso avviene a livello di utente, che non risolveremo mai. Ma significa che tu, come proprietario del sito, non sei responsabile se si verifica.


0

L'unico problema che vedo con OpenID è il seguente:

Immagina due siti affiliati. Entrambi consentono l'accesso OpenID. Sicuramente allora possono condividere le statistiche delle attività tra loro - diciamo che faccio l'azione X e l'azione Y sul primo sito e poi, quando visito il secondo sito, vengo bombardato da annunci mirati, secondo le mie attività sul primo sito. Per qualche motivo la mancanza di isolamento tra gli accessi OpenID mi sembra un po 'spiacevole.

Ma il fatto è che la massima praticità di OpenID (una, si spera sicura, un insieme di credenziali) non viene eclissata dal suddetto aspetto negativo. Uso OpenID ovunque possibile e, se dovessi sviluppare un servizio Web per uso pubblico, lo farei sicuramente supportare OpenID (forse con un'opzione di registrazione convenzionale).


Se usi Google come provider OpenID, in realtà emettono un OpenID diverso (che include una grande stringa casuale) per ogni sito che visiti, per prevenire quel tipo di problema di correlazione tra siti di cui stai parlando. Personalmente, ritengo che un'anti-funzione abbia per impostazione predefinita, perché significa che se un sito cambia il suo dominio di accesso, tutti gli OpenID emessi da Google si rompono, ma risolve quel problema. Sarebbe bello se fosse facoltativo.
keturn,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.