Open ID è migliore del solito sistema di accesso? [chiuso]

Stiamo sviluppando un sistema web e stiamo valutando l'utilizzo della funzione Open Id. Pensi che sia meglio del solito modo di accedere agli utenti? Se utilizziamo la funzione Open Id ciò significa che gli utenti verranno reindirizzati al sito di loro scelta dei provider Open Id che intraprenderebbero più azioni. Quindi devono accedere lì e essere reindirizzati al nostro sito. Gli utenti sarebbero a proprio agio con questo?

Nota: si tratta più di un sito di social network ma non di nulla di ingombrante.

Adoro OpenID ed è assolutamente migliore della metafora delle credenziali per sito "tradizionale". Non voglio più credenziali da gestire e non voglio fidarmi del sito J. Random per archiviare le credenziali fornite in modo sicuro. Penso che gli utenti si sentiranno più a suo agio man mano che diventa più banale. Spero che diventi più banale.

Si prega di sottolineare se abbiamo torto.

Visualizzazioni negative

• Pensiamo che per gli utenti generici NON sia il modo preferibile.
• Gli utenti che hanno meno conoscenze tecniche potrebbero pensare due volte o confondersi.
• NON ci sono abituati.
• Devono avvalersi di un ID aperto da un determinato provider che potrebbe essere fastidioso per loro.
• Potrebbero odiarlo perché verranno reindirizzati a un altro sito.
• Potrebbero sbagliare!

Viste positive

• È affidabile perché non stiamo chiedendo le loro credenziali.
• È più veloce una volta effettuato l'accesso.
• "Supera il burnout delle credenziali". È molto difficile tenere traccia di quante persone saltano un sito perché si rifiutano di mantenere un altro nome utente / password. - Kara Mafia

Non dimenticare che non deve essere un'opzione / o. Puoi (e probabilmente dovresti) aggiungere il supporto OpenID oltre ai metodi di login tradizionali. Questo non spaventerà gli utenti "generali": usano semplicemente il metodo esistente, rendendo la vita molto più piacevole per coloro che usano OpenID.

OpenID offre una serie di vantaggi, tra cui principalmente quello di farti pigro con l'autenticazione. L'autorizzazione è ancora il tuo problema, ma almeno non devi preoccuparti di archiviare le credenziali in modo sicuro. Questa è una buona cosa secondo me. La "rete ha bisogno di più" parti confidenziali come serverfault.

Se accedi con un OpenID, devi accedere al tuo provider solo una volta - la seconda volta, l'utente non vedrà nemmeno la pagina del provider.

Inoltre, forse RPXnow sarà interessante.

Personalmente ho oltrepassato il limite amando OpenID. Prima ero resistente alla paranoia generale. Ora è troppo doloroso in un $$ per mantenere tutto dritto. Sono d'accordo sul fatto che gli utenti non tecnologici potrebbero inizialmente lottare, ma penso che più si diffonde e più le persone si sentiranno a proprio agio. Alcuni siti offrono sia un sistema di autenticazione tradizionale (locale) sia la possibilità di utilizzare OpenID. Penso che l'educazione aiuterà molto qui, quindi se spieghi chiaramente cos'è OpenID e quali sono i suoi benefici, ciò contribuirà molto all'accettazione.

Come tecnologia Single Sign On (SSO) è aperta ai rischi generali di qualsiasi SSO. Da quel punto di vista non sono ancora pronto per integrare la mia banca o i miei siti medici :) Non che sia comunque offerto da loro ...

Lo spiegherò con OpenID che di solito vuoi OAuth che ottiene una stampa criminalmente bassa.

Altri hanno elaborato abbastanza su OpenID, OAuth aggiunge al set che un altro sito non solo sa chi sei attraverso il tuo provider OpenID, ma puoi anche dire ciò che il sito in questione è autorizzato a conoscere di te.

• necessita di e-mail per i dettagli dell'utente
• necessita del nome / cognome per i dettagli dell'utente
• ha bisogno del paese

potrebbe andare tutto bene. Che ne dici di quelli:

• numero di Social Security
• Numero di carta di credito
• numero di telefono
• indirizzo postale

Quindi OpenID + OAuth è un'ottima combinazione, usando entrambi non solo hai un unico posto dove conservare un nome utente e una password, ma anche dove conservi i dettagli su di te e non perdi la visione di quale sito ha accesso a quali dettagli su di te.

Posso pensare a uno scenario in cui OpenID otterrà molti utenti sul posto. Supponiamo che un sito importante perda milioni di password degli utenti per hacker malvagi [*] e che l'elenco vada fuori. La maggior parte degli utenti sarà nel panico, non solo a causa di un account specifico, ma perché utilizzano lo stesso login / password per più siti. E lo fanno. Lo so che lo faccio. E non tengo traccia di questi account, quindi il risultato è che non posso mai cambiare le mie password .

Ora, quando saprò che un cattivo può rubare i miei conti, cosa farò? Proverò a superare questo compito schiacciante di cambiare password. O mi imbatterò nel concetto OpenID e proverò a convertire tutti questi account in occasione. Ciò significherebbe che in realtà ho ancora un unico login / password per più siti, ma ora posso almeno cambiare facilmente la password in tutti loro . E nel caso in cui hacker malvagi rubino il mio OpenID ho un solo problema a richiedere la reimpostazione della password o almeno a disabilitare l'account.

[*] - leggi: script kiddies

Più visito vari siti Web, più desidero una singola funzionalità di accesso.

Ogni sito web ritiene il loro più importante. Ogni sito web insiste sulla necessità di creare un account prima di poter fare qualsiasi cosa. StackOverflow, Serverfault, Wikipedia, WowWiki, Wowhead, forum MS, CodeProject, CodePlex, e così via, ...

Tutti mi chiedono di creare un nome utente univoco, una password e inserire il mio indirizzo e-mail. Quindi insistono sul fatto che vado a controllare la mia e-mail prima di lasciarmi pubblicare, modificare, scaricare, fare clic, commentare, valutare, ecc. Non c'è motivo di non farmi usare il tuo sito nell'istante in cui ci giro.

voglio solo che tacano tutti. Voglio un unico accesso che posso semplicemente usare ovunque, con un indirizzo e-mail che sia un buco nero, quindi non devo mai leggere la loro spazzatura.

OpenID sembra essere quello. Ma è stato possibile solo dopo che Google lo ha supportato. Prima di allora, era il proprio sistema di login proprietario di StackOverflow - che erano troppo pigri per ospitare se stessi. Ora che Google supporta OpenID, è in realtà concepibile che tutti lo avranno già.

In questi giorni, detesto dover creare account su siti Web e maledire gli operatori che pensano che dovrei prima creare un account.

Non farmi detestare anche il tuo sito.

I vantaggi dell'utilizzo di openId su entrambi i lati sono vantaggiosi: 1. Gli sviluppatori non devono implementare il sistema di accesso (database, elaborazione client, sicurezza delle app, ecc.) 2. Gli utenti non devono ricordare un set aggiuntivo di credenziali.

D'altra parte potresti spaventare alcuni degli utenti che non sono realmente esperti di computer e saranno riluttanti a rivelare le loro credenziali di Google per accedere al tuo sito.

La soluzione migliore sarebbe un sistema hibrid che consenta sia la registrazione OpenID che quella in loco, ma ciò rovinerebbe davvero il primo vantaggio di cui ho parlato.

L'altra cosa che OpenID offre ai tuoi utenti è la possibilità di utilizzare credenziali più forti. Vedo alcune preoccupazioni sul phishing nelle risposte qui, ma puoi scegliere un provider OpenID che non utilizza affatto credenziali phishable / replayable. I certificati SSL o le schede informative, ad esempio, sono supportati da alcuni provider. myOpenID ha una cosa in cui ti richiede di rispondere a una telefonata prima di poter accedere. Sono abbastanza sicuro che ci sono altri siti che usano token hardware.

Sì, la maggior parte dei tuoi utenti probabilmente farà semplicemente clic sul pulsante Yahoo e non lo utilizzerà. Ma offre loro la scelta e non devi preoccuparti dei dettagli di implementazione. Sostengo che sia più facile aggiungere il supporto OpenID al tuo sito piuttosto che supportare certificati SSL in un modo cross-browser. Ed è certamente più facile che supportare tutti i certificati SSL, le schede informative, la verifica del telefono, la verifica del token, il DDRpass, l'autenticazione stereogramma a punti casuali o qualsiasi altra cosa stravagante a cui pensano dopo.

Non sto cercando di cambiare idea a nessuno. Per favore, considera questi fatti. OpenID è solo due cose diverse dal sistema di autenticazione utente + password:

• luogo in cui avviene l'autenticazione. Se in precedenza hai usato nome + password, OpenID cambia il luogo in cui viene verificata la password. Se hai usato il certificato in precedenza, OpenID cambia dove è selezionato il certificato.
• L'URL OpenID è univoco per l'intero WWW (senza considerare i DNS radice alternativi)

Quello che sto cercando di sottolineare è che nulla è cambiato:

• OpenID non sostituisce la procedura di registrazione (ma può semplificare la registrazione tramite l'estensione sREG)
• non è meno sicuro. Se uno ha usato password brevi prima, le utilizzerà di nuovo.
• non implica che non si possano avere centinaia di ID diversi per ogni sito Web là fuori per persone paranoiche.
• non implica " OMG che è la tecnologia geek, scappare !! ". No, puoi creare bei pulsanti lucenti come il gruppo di siti StackOverflow fatto per i comuni provider OpenID. È molto più facile da usare.
• non implica reindirizzamenti. È possibile effettuare l'autenticazione in iframe o in una finestra del browser separata.

È come con qualsiasi altra tecnologia. La maggior parte delle cose di cui la gente parla è un mito perché non si sono presi del tempo per studiarlo o perché hanno usato un'implementazione sbagliata.

OpenID è più complicato e ti rende dipendente dal fatto che gli altri provider non vadano giù.

Uno dei problemi che StackOverflow ha con esso, è che se accedi con un OpenId diverso dal solito che usi, perdi le tue valutazioni e badge (forse hanno risolto questo ormai, non hanno sentito). Una volta non sono riuscito ad accedere per un'ora perché il mio provider era inattivo.

Odio openID ed è stato il motivo principale per NON registrarsi a serverfault / stackoverflow E la privacy degli utenti? Alcuni utenti, come me, sono estremamente paranoici e non amano mescolare informazioni facebook / yahoo / google tra vari siti Web

OpenID, anche se simpatico, concettualmente affronta l'IMO in una battaglia in salita perché è a) difficile da implementare per gli sviluppatori eb) difficile per gli utenti abituarsi al concetto di usare un url. A questo punto il modello di utilizzo di nome utente / password è piuttosto radicato.

Detto questo, dai un'occhiata a Clickpass ( www.clickpass.com ). Stanno attivamente cercando di rendere OpenID più facile da usare.

In bocca al lupo.

Non ancora.

Ha bisogno del supporto del browser. I browser completerebbero un'ottima esperienza utente con OpenID, in quanto potrebbero gestire le tue identità in modo centralizzato e rendere le cose molto semplici (sembra che il sito web che stai visitando stia usando OpenID, vuoi usare http://yahoo.com / utente per accedere?) e sicuro.

Ma in questo momento, è necessario uno sforzo significativo per rendere utilizzabile OpenID. A mio avviso, devi fornire OpenID come opzione o fornire il tuo provider OpenID ai tuoi utenti (rendendoli liberi di utilizzare un servizio di terze parti).

Pensa ai clienti. Il tuo cliente target è un fanatico? In caso affermativo, OpenID impressionerà il tuo cliente e aiuterà il tuo sito. In caso contrario, il lavoro extra per renderlo non-geek sarà drenare le risorse dalla fornitura di contenuti a cui il tuo cliente tiene. Concentrati prima di offrire valore ai tuoi clienti.

Il problema con OpenID è che è ottimo per cose come ServerFault in cui il livello di fiducia nell'identità di qualcuno non è in realtà una considerazione - una volta che inizi a preoccuparti, è lì che la vita diventa complicata.

Diventa complicato, perché quando controllo il mio provider di autenticazione, mi fido implicitamente di quel provider perché lo eseguo e presumibilmente lo ho implementato allo standard richiesto. Quando sposto l'autenticazione al di fuori del mio controllo, ora devo assegnare un livello di attendibilità anche al provider di autenticazione.

Dal mio datore di lavoro, per legge, non posso fidarmi di QUALUNQUE importante fornitore OpenID là fuori perché:

• Non applicano modifiche periodiche della password
• Non impongono lunghezza / complessità della password
• Non riesco a controllare le loro pratiche di gestione dei sistemi

Questo non è un elenco completo in alcun modo.

Per far funzionare OpenID per applicazioni non banali, ho bisogno di un provider attendibile e devo limitare i miei utenti a quel provider (o provider) fidato. Quel tipo di sconfigge l'intero vantaggio del "singolo nome utente / password". Anche allora, potrei aver ancora bisogno di fare una verifica dell'identità per gli utenti con livelli di fiducia più elevati. Mi sembra un sacco di lavoro, soprattutto quando gestire il proprio provider di autenticazione non è scienza missilistica.

IMO, i governi hanno il potenziale per far funzionare questa tecnologia. Se un DMV statale / provinciale o l'ufficio postale offrissero un servizio in cui i cittadini stabiliscono le credenziali online, accessibili tramite OpenID, potreste fidarvi delle credenziali dell'ufficio postale / DMV. (Perché il governo dice: "Ti fiderai di noi") Credo che paesi come la Norvegia e la Danimarca stiano già fornendo credenziali PKI individuali.

Per un sito di social network, OpenID contribuirà ad attirare gli esperti di tecnologia. Tuttavia, se questa è la tua unica opzione, spaventerà tutti gli altri. Gli utenti sono abituati a registrarsi con nuovi accessi e password su ciascun sito. OpenID è nuovo e straniero e può far pensare agli utenti perché stanno cedendo le loro credenziali a terzi. Per un tipico utente, OpenID potrebbe anche dire GiveMeYourInformationSoICanSpamYou ... è solo un motivo in più per dubitare dell'integrità del tuo sito.

In breve: determinare la base utenti e grattare OpenID o utilizzare sia OpenID sia un sistema di accesso gestito dall'applicazione.

Mi chiedo perché la gente pensi che openID sia più sicuro. Per gli utenti esperti di tecnologia, questo potrebbe applicarsi, ma un utente comune non individuerebbe la differenza tra un vero login openID e uno falso che cancellerà la password.
Ancora peggio, anche loro sapranno quale account openID associare a questa password e probabilmente possono causare molti più danni rispetto a una semplice combinazione nome utente / email / password.

openID è una soluzione tecnica per utenti tecnici e non molto utile per gli utenti ordinari. Quindi per i siti tecnici potrebbe fiorire, ma non lo vedo presto per i siti ordinari.

Direi che sì, OpenID è migliore della solita soluzione di accesso dal punto di vista dell'utente , per questi motivi:

• Non devo ricordare ancora un altro nome utente e password per il tuo sito
• Posso usare un ID di accesso per più siti, se lo desidero
• Ricevo sempre lo stesso nome utente, senza aggiungere numeri e schifezze casuali alla fine degli ID di accesso fino a quando non ne ottengo uno gratuito
• Con il passare del tempo diventerà più popolare e meglio compreso dagli utenti
• Spiegare agli utenti come funziona e i vantaggi per loro è piuttosto semplice
• La maggior parte degli utenti disporrà di un account e-mail gratuito da Yahoo o Google che può utilizzare come provider OpenID -> probabilmente non sanno nemmeno che sia possibile.
• Gli utenti possono comunque fornire un indirizzo e-mail diverso a quello del provider OpenID (se si tratta di un account yahoo / gmail / qualunque gratuito) in cui è possibile fare clic su un collegamento per confermare, come backup per l'invio di e-mail "password dimenticata" o altre notifiche o informazioni di marketing a.

Ricorda che solo perché hai l'opzione di OpenID non significa che non puoi anche dare agli utenti l'opzione di backup di avere una combinazione nome utente + password tradizionale nel caso in cui non vogliano usare OpenID o non abbiano un fornitore. Nulla di sbagliato nel lasciare che gli utenti scelgano ciò che vogliono se lo sanno, e altrimenti passano a OpenID , imo :)

Open ID è una di quelle cose che ami o detesti l'idea - penso che si riduca davvero all'idea se vedi la centralizzazione dell '"autenticità" con entusiasmo o scetticismo.

In altre parole, quando scopri che un account su un sito openid è compromesso, pensi "oh sh! T, ora sono potenzialmente compromesso su ogni sito per cui uso quell'openid" o "oh bene, ora io devo solo cambiare la mia password per tutti quei siti in un unico posto ".

Lavorando in questo campo finiamo con molte informazioni sulle credenziali di accesso. OpenID mi consente di utilizzare un account già stabilito per autenticarmi senza dover configurare un altro account e password. Con molti siti che iniziano a supportare OpenID, esiste una scelta molto più ampia di quale autenticatore OpenID utilizzi per convalidare la tua identità.

Puoi anche configurare il tuo autenticatore OpenID sul tuo sito se non vuoi usare uno di quelli già esistenti. In questo modo puoi mantenere un maggiore controllo su quali informazioni vengono fornite quando ne sei autenticato.

Penso che avere la possibilità di creare un account o utilizzare OpenID per l'autenticazione sia un'ottima combinazione che copre sia la sicurezza paranoica che quelli che desiderano la facilità d'uso.

Penso che OpenID sia eccezionale e lo stiamo prendendo in considerazione per il nostro sito. Tuttavia, avremmo bisogno di oAuth e vorremmo ricevere l'e-mail anche dagli utenti. Lo usiamo ampiamente e una cosa che facciamo è inviare una newsletter via e-mail. Permettiamo di rinunciarci, ma per il nostro sistema funzionerebbe, lo vorremmo.

Sembra che ci sia un duro gruppo di tecnici che odiano rinunciare a un utente / pwd, e posso capirlo. Alcuni sono sostenitori della privacy e capisco perfettamente. Alcuni sono semplicemente pigri, non vogliono impostare un utente / pwd, altri sono solo acquirenti. Vogliono ottenere informazioni da Internet, ma non pagarle mai in alcun modo, in alcun modo (pubblicità, costi, ecc.) Penso che sia una minoranza di persone poiché la maggior parte delle persone capisce che devono contribuire o rimborsare in qualche modo .

Devi esaminare il tuo sito, quali dettagli / informazioni hai bisogno e poi decidere se soddisfa le tue necessità. In tal caso, è possibile aggiungerlo in aggiunta al metodo di accesso corrente. Hai bisogno di contattare persone, informarle di cose, ecc.

Avere un modo centrale per autenticarti è fantastico, ma ci sono problemi, come detto, con una mancanza di modifiche / complessità della password. Tuttavia, si tratta di un problema utente più che di un problema del sito. Un compromesso avviene a livello di utente, che non risolveremo mai. Ma significa che tu, come proprietario del sito, non sei responsabile se si verifica.

L'unico problema che vedo con OpenID è il seguente:

Immagina due siti affiliati. Entrambi consentono l'accesso OpenID. Sicuramente allora possono condividere le statistiche delle attività tra loro - diciamo che faccio l'azione X e l'azione Y sul primo sito e poi, quando visito il secondo sito, vengo bombardato da annunci mirati, secondo le mie attività sul primo sito. Per qualche motivo la mancanza di isolamento tra gli accessi OpenID mi sembra un po 'spiacevole.

Ma il fatto è che la massima praticità di OpenID (una, si spera sicura, un insieme di credenziali) non viene eclissata dal suddetto aspetto negativo. Uso OpenID ovunque possibile e, se dovessi sviluppare un servizio Web per uso pubblico, lo farei sicuramente supportare OpenID (forse con un'opzione di registrazione convenzionale).