В чем преимущество использования только аутентификации OpenID на сайте?


из моего опыта с OpenID, Я вижу ряд существенных недостатков:

добавляет a единственная точка отказа на сайте
Это не сбой, который может быть исправлен сайтом, даже если он обнаружен. Если поставщик OpenID не работает в течение трех дней, какой ресурс должен быть у сайта, чтобы позволить своим пользователям войти в систему и получить доступ к информации, которой они владеют?

перенесет пользователя в другой контент сайтов и каждый раз, когда они войдите на свой сайт
Даже если поставщик OpenID не имеет ошибки, пользователь перенаправляется на свой сайт для входа в систему. Страница входа содержит контент и ссылки. Таким образом, есть шанс, что пользователь действительно будет оттянут от сайта, чтобы спуститься в интернет-кроличью нору.

зачем мне отправлять своих пользователей на сайт другой компании?
[ Примечание: мой провайдер больше не делает этого и, похоже, исправил эту проблему (на данный момент).]

добавляет a нетривиальное количество времени до регистрации
Чтобы зарегистрироваться на сайте, новый пользователь должен прочитать новый стандарт, выбрать поставщика и зарегистрироваться. Стандарты-это то, что технические люди должны согласиться, чтобы сделать пользовательский опыт без трений. Они не являются чем-то, что должно быть навязано пользователям.

Это мечта Фишера
OpenID невероятно небезопасен, и кража идентификатора человека при входе в систему тривиально проста. [ взятый из ответа Дэвида Арно ниже ]


для всех недостатков, один плюс заключается в том, чтобы позволить пользователям иметь меньше Логинов в Интернете. Если сайт имеет возможность выбора OpenID, то пользователи, которые хотят эту функцию, могут использовать ее.

то, что я хотел бы понять:
Какую выгоду получает сайт для создания OpenID обязательное?

15 51

15 ответов:

в списке минусов не хватает самого очевидного: это мечта Фишера. OpenID невероятно небезопасен, и кража идентификатора человека при входе в систему тривиально проста.

Мэтт Шеппард попадает в точку на голове, как и ответ: преимущество только с помощью OpenID заключается в том, что он включает в себя меньше хлопот для создателя сайта, поскольку нет никаких имен пользователей и паролей для обработки и не требуется код создания учетной записи пользователя.

отсутствие собственного кода входа также означает, что вам не нужно иметь дело с множеством проблем поддержки, таких как сброс потерянных паролей и т. д.

Конечно, большинство ваших недостатков действительны, поэтому я думаю, что это становится компромиссом.

Что меня удивляет OpenID - это не больше сайтов, формирующих тесные отношения с конкретным поставщиком OpenID просто на этапе регистрации Учетной записи-т. е. своего рода "вы можете использовать любой OpenID, который вам нравится, но вы также можете создать его прямо сейчас, введя имя пользователя и пароль и т. д." страница входа, которая автоматически создает новую учетную запись с выбранным поставщиком для вас.

Это хороший способ аутсорсинга части вашей инфраструктуры. Вам не нужно беспокоиться о потерянных паролях и т. д. кто-то другой делает это за тебя.

Я не уверен, что буду использовать его исключительно, хотя. OpenID я не использовал достаточно, чтобы полностью доверять ему, и процесс регистрации должен быть оптимизирован до тех пор, пока > 90% пользователей не будут иметь OpenID.

добавляет критическую точку к отказу на сайт

на третьем месте идея на uservoice для Stackoverflow это разрешить изменение поставщика OpenID. И в комментариях есть предложение разрешить ассоциировать больше, чем на OpenID. OpenID на сайтах, где несколько OpenIDs могут быть связаны с учетной записью, если ваш обычный поставщик OpenID не работает, вы все равно можете войти в систему с другим поставщиком (при условии, что вы уже связали его сайт.)

кроме того, это только критическая точка отказа для пользователей поставщика OpenID, который не работает. Все остальные пользователи на других провайдерах OpenID могут продолжать регистрировать его. Со временем вы ожидаете, что пользователи перейдут к самым надежным поставщикам.

принимает пользователя на другой контент сайтов и каждый раз, когда они входят на ваш сайт

Если вы настроили провайдера OpenID на постоянное доверие к Сайту (или OpenID OpenID provider), и вы уже вошли в свой поставщик OpenID, тогда они перенаправят вас прямо на сайт, даже не видя вашего сайта OpenID providers.

добавляет не пробное количество времени для регистрации

В настоящее время это может быть правдой, но, как сказал андюк, "это становится менее проблемой, чем больше сайтов, поддерживающих OpenID". Я ожидаю, что через несколько лет большинство пользователей уже будут иметь OpenID и знать, что это такое.

одно из больших преимуществ перехода на OpenID-только с инженерной точки зрения заключается в том, что абстрагирование части проверки подлинности учетных данных позволяет пользователям выбирать методы проверки подлинности, которые намного сложнее, чем все, что вы потрудились бы построить для своего сайта. Да, некоторые OpenID провайдеры легко подмененный. С другой стороны, другие пользователи OpenID входят в систему с информационными картами, аппаратными маркерами или проверкой телефона, и это учетные данные, которые не может будет захватили и ответил Фишер.

Как Гейб Wachob положите его:

люди, которые хотят внедрять инновации в методах аутентификации [...] не должны быть те же люди, которые внедряют инновации в предоставлении услуг в интернете (любой из миллиона людей, работающих под управлением Mediawiki, Drupal и т. д.). Что "независимость" инновации аутентификации и инновационного обслуживания, что является ценным в OpenID.

таким образом, используя OpenID, вы можете предложить своим пользователям более сильную аутентификацию методы. Абстракция позволяет реализовать один интерфейс, а затем вы можете выбрать любого поставщика для работы, независимо от того, используют ли они восьмизначные пароли в открытом тексте или нейронные имплантаты с ответом на вызов.

Он призывает пользователей зарегистрироваться в OpenID, узнать больше об этом и, надеюсь, евангелизировать его сами.

переполнение стека доказывает, что только поддержка OpenID может работать.

"добавляет критическую точку к отказу на сайт"

Если поставщик OpenID не работает, сайт должен иметь механизм, позволяющий пользователям входить в систему и добавлять/изменять поставщиков OpenID. Возможно, сайт может отправить временную ссылку на обход безопасности, чтобы пользователи могли получить доступ к своей учетной записи.

"берет пользователя на другой контент сайтов и каждый раз, когда они входят на ваш сайт"

мой провайдер OpenID позволяет мне доверять данному веб-сайту, поэтому мне не нужно даже просматривать их веб-сайт.

"добавляет не пробное количество времени для регистрации"

Это становится меньше проблем, чем больше сайтов, поддерживающих OpenID.

веб-разработчик, я большой поклонник идеи OpenID. Написание кода аутентификации-это боль в заднице. Как веб-пользователь, я большой поклонник OpenID - для некритических целей, таких как so, форумы и т. д., Потому что, как только у вас есть идентификатор, это очень простой способ присоединиться к сайту.

Я думаю, что за исключением нескольких исключений-например, сообщества Для разработчиков-в это время вы не можете заставить OpenID только. "Средний" пользователь интернета (что бы это ни значило) не понимаю. Однако, продвигая его на сайте, как это повышает осведомленность среди разработчиков, и идея в конечном итоге стекает. По мере того, как OpenID появляется на все большем количестве сайтов, люди будут заглядывать в него, понимать, что у них есть один, а затем начать его использовать. Для того чтобы OpenID - что является отличной идеей-успел зацепиться, должна быть критическая масса пользователей и сайтов, поддерживающих его.

В конце концов, это будет просто "так, как есть", и мы будем удивляться, почему мы когда-либо создавали код аутентификации для каждого веб-сайта, который мы сделали, или почему мы будет создавать уникальную идентичность везде, где мы пошли в Интернете

Как обсуждалось в одном из подкастов, он добавляет барьер для входа в странника, задаваясь вопросом, Может ли это быть там, где они должны разместить свой Yahoo! Отвечает на вопрос.

Это несколько элитарно, но, учитывая направленность этого веб-сайта, в частности, вполне приемлемо отказаться от любого, кто не может понять процесс Open ID, и любой, у кого действительно есть реальный вопрос, на который им нужно ответить, может быть потрудился работать через любые небольшие трудности.

из моего опыта работы с OpenID, я вижу ряд существенных недостатков:

Если вы решите войти в систему с вашим доверенным поставщиком OpenID, например. Verisign PIP + VIP вы можете воспользоваться преимуществами внешних механизмов аутентификации SecureID. Это следует рассматривать как главное преимущество, которое перевешивает все остальные. Вы больше не доверяете какой-либо дерьмовой аутентификации на основе формы на сайте, к которому вы обращаетесь, Вы доверяете Verisign VIP или независимо от того, какой ваш выбор поставщика OpenID может быть.

интернет кроличья нора? Звучит как плохая реализация, и я, например, не знаю, о чем вы говорите.

вы не можете украсть детали аутентификации легко, это может быть сделано ближе к невозможному, чем то, что у нас уже есть! Вы можете обмануть меня, думая, что я обращаюсь к своему провайдеру, но Verisign for one имеет возможность не разрешать или принимать перенаправления. Я вижу эти проблемы фишинга как что-то тривиальное, особенно если вы его взвешиваете против преимуществ механизмов внешней проверки подлинности, которые вы можете получить через поставщика проверки подлинности OpenID. Так сказать, вы подмененный ключ RSA деталь один раз, он не будет действовать в следующий раз или, может быть, просто совершенно бесполезным, если вы сказали, что использовать сертификат браузера.

В заключение, OpenID - это просто эволюция текущей системы, адрес электронной почты для проверки. Если ваша учетная запись электронной почты является вашей текущей единственной точкой отказа, то да, ваш OpenID может быть Ваша новая единственная точка отказа в случае, когда OpenID, который вы контролируете, больше не находится под вашим контролем. Итак, если Вы доверяете только своему почтовому серверу, просто разместите свой собственный URL-адрес OpenID. Если Вы доверяете Gmail, используйте URL-адрес gmail для вашего OpenID, потому что по той же причине вы уже доверяете Gmail как своему SSO, поскольку ваша учетная запись gmail может в конечном итоге получить пароли вашей учетной записи.

Это не проблема, но я вижу, что некоторые люди могут иметь трудности с пониманием основных понятий механизм аутентификации. Если я могу войти с помощью своей карты SecureID (через моего поставщика OpenID) на сайт, на котором у меня есть учетная запись, я бы это сделал. Так что если это был единственный вариант, я возьму его!

добавляет критическую точку к отказу на сайт

эта критическая точка сбоя может быть отправлена по электронной почте с подтверждением, но почтовый ящик пользователя a) недоступен из-за опечатки, b) Полный или C) поставщик "не работает".

принимает пользователя на другой контент сайтов и каждый раз, когда они входят на ваш сайт

Я это вижу, но ИМХО-это не так уж и плохо. Я имею в виду! кажется, один из самых захламленных Логинов, а также никогда не работает на меня. ;) В стороне, большинство провайдеров OpenID не выглядят так плохо (пока).

кроме того, имейте в виду свою аудиторию. Если мама и папа - ваши пользователи, OpenID, вероятно, сбивает с толку, как ад. Но так, вероятно, много в Интернете. В этом случае люди являются несколько подкованными пользователями и знают, чего они хотят.

добавляет не пробное количество времени для регистрации

Это не проблема. Посмотрите на список услуги поставщиков: http://openid.net/get/

Так много людей имеют по крайней мере Yahoo! счет, так что если это действительно сработало. Это не так уж плохо. Я согласен, хотя, что если пользователь не имеет OpenID, и не знает, для чего это. Воспитывать их не так-то просто.

и подумайте о подтексте - "чтобы зарегистрироваться на сайте A, вам нужно зарегистрироваться на сайте B". И мы все знаем, что регистрация сама по себе является занозой в заднице. Но в долгосрочной перспективе, это тоже точно что OpenID пытается решить.

в основном, я в настоящее время не вижу смысла делать OpenID обязательным. Мне нравится это как дополнение, хотя. Просто как люди дают ссылки на "войти с Facebook" и т. д.. Тогда людям, которые не понимают этого (или не заботятся), не нужно беспокоиться. Но другие все еще могут использовать его.

OpenID может быть величайшей вещью со времен нарезанного хлеба, но мне не дали никаких оснований доверять "им" с моей личностью - кроме Джеффа Этвуда/Джоэл Спольски заставил меня сделать это, чтобы быть здесь, жалуясь на это ;-)

одна вещь, чтобы упомянуть также. У вас уже есть userbase с OpenID, им просто нужно войти в систему.

Я за OpenID, в основном с точки зрения простоты использования. Я по-прежнему убежден в его безопасности, но у него есть большой потенциал. Есть много вещей, которые можно было бы сказать об этом, но я просто хотел ответить на следующие два момента:

добавляет нетривиальное количество времени Регистрация

только в первый раз установки. Кроме того, с такими компаниями, как Yahoo, предоставляющими поддержку сейчас, многие люди даже не будут иметь чтобы беспокоиться о настройке OpenID, если они этого не хотят. Если бы вы использовали Google или кого-то похожего на вашего провайдера OpenID, вы бы увидели, что они по своей сути небезопасны? И как часто вы ожидаете, что у них будут простои?

Это мечта Фишера

Я согласен, что это может быть отчасти верно. Но разве фишинг не является скорее социальной проблемой, чем технологической? OpenID может сделать это проще, но это не исключает того, что реальная проблема-это пользователь. Гораздо важнее информировать пользователей о том, как работают фишеры, чем пытаться защитить их с помощью технологий.


Я читал блог на blogspot, и есть ссылка, чтобы следовать этому блогу (предположительно, скажите мне, когда есть новые сообщения), чтобы сделать это, он всплывает окно с запросом моего имени пользователя и пароля Gmail.

даже если предположить, что это подлинный, а не фишинговый сайт - теперь у них (potentailly) есть вход в мой Gmail, Мои Документы Google, Мои приложения Google - все!

основное преимущество наличия OpenID будет видно в долгосрочной перспективе. Вместо того, чтобы обращаться к различным сайтам за удостоверением, вы делаете это один раз, а затем используете его на всех сайтах, которые требуют уникального удостоверения. Конечно, для безопасных сайтов, таких как банковское дело и торговля, потребуется совсем другое мышление. Но для сайтов социальных сетей и тому подобное вы можете использовать его легко.

маме и папе тоже будет легко, потому что теперь они должны помнить только одно имя пользователя/пароль. Много раз нам становится трудно вспомнить, какой логин у нас есть на каком сайте, и в конечном итоге использовать правильное имя пользователя/пароль сайта A на сайте B. OpenID решит это. Кроме того, это хорошая модель дохода для поставщика и пользователя OpenID. Я могу ввести одному такому поставщику все детали, которые я готов дать, и каждая такая деталь, которую я даю, я могу заработать деньги.

может быть, провайдер может уговорить меня рассказать больше о себе, используя это в качестве стимула, который он может затем продавайте сайты, на которых я регистрируюсь. Так что сайт платит OpenID для моей информации. Затем OpenID передает мне часть этого. Сайт не должен управлять пользователями, OpenID получает деньги, пользователь получает деньги, все довольны :)

таким образом, вам не придется делать OpenID обязательным. Люди сами захотят этого. Поставщики OpenID будут конкурировать между собой, чтобы обеспечить лучшие услуги, и там, где есть конкуренция, будет обеспечена лучшая ценность для всех заинтересованных сторон. Я думаю, что это потрясающая идея.

Edit: Что касается простоев у одного конкретного поставщика; если поставщик OpenID a не уверен в предоставлении 100% времени безотказной работы, он может воспользоваться помощью другого поставщика B, и пользователь на поставщике A может выбрать один из параметров, которые дает поставщик A. Сайт, который переходит к поставщику A для аутентификации пользователя, будет знать, к каким другим поставщикам обращаться в случае, если поставщик A не работает. Это будет сохранено в своей базе данных при первом входе в систему автоматически. Кто-нибудь хочет обсудить детали реализации ? :)