По каким причинам не следует использовать OpenID?


вы видите справедливый бит (в сообществе Geek в любом случае) об OpenID. Это кажется хорошей идеей. Я разрабатываю веб-сайт, который будет ориентирован на несколько менее вызывающую аудиторию (но не совсем маму и попса), поэтому мне нужно задаться вопросом, будет ли OpenID "слишком сложным" для некоторых аудиторий.

Что вы думаете? Кроме того, существуют ли какие-либо другие технические или нетехнические причины не использовать OpenID?

17 58

17 ответов:

средние пользователи все еще не понимают, что такое OpenId, для чего он предназначен или как его использовать. Например, мои родители не смогут войти в Stack Overflow.

Это, как говорится, в основном о пользовательском интерфейсе. OpenID по своей сути ничего не мешает им использовать OpenId - им просто нужен пользовательский интерфейс, который абстрагирует OpenId от них и просто позволяет им войти в свою учетную запись Google (например).

может быть немного неточно сказать, что средний человек не понимает OpenID.

в большинстве случаев, с небольшим убедительным маркетингом (т. е. "используйте один логин на всех сайтах!!!11!) они могут понять, что это позволяет им входить на сайты, используя один логин, а не иметь кучу разных имен пользователей и паролей на разных сайтах.

проблема, однако, заключается в том, что для среднего пользователя весь опыт OpenID идет вразрез с тем, что они считают онлайн безопасности.

  • пользователи не будут автоматически доверять ему

    с обычными логинами имени пользователя / пароля пользователи понимают, что пароль должен храниться в секрете, и это то, что защищает их конфиденциальность при входе на сайт. OpenID как они должны понимать обмен, который происходит между сайтом клиента OpenID и их провайдером OpenID? Все, что они знают, это то, что им не нужно было вводить пароль (предполагая, что они "всегда вошли в систему" на своем OpenID provider) - так что это не безопасно, верно? Я имею в виду, в глазах пользователя, как это может быть безопасно, если они не дали пароль? Это может привести к недоверию пользователей.

  • это делает фишинг легко

    (многие) пользователи знают, что неправильно повторно использовать один и тот же пароль для разных учетных записей, но это, похоже, именно то, что делает OpenID. Что делать, если пользователь просто предполагает, что все их провайдер OpenID делает это общий доступ к их паролю со всеми участвующими сайтами? Я имею в виду, как еще OpenID может быть "вход для них" на всех этих сайтах? Если OpenID предполагает, что его пароль становится известен всем участвующим сайтам OpenID, то пользователь может предположить, что вполне разумно выдать этот пароль любому из этих сайтов. Это фишинговый кошмар. Представьте себе, что вы разместили на своем сайте такую фразу: "Пожалуйста, введите ваше (какого-нибудь провайдера OpenID) имя пользователя [ ] и пароль []". Ты фишинга людей уже.

    мы также не должны забывать, что пользователь будет право в своих подозрениях в одном отношении, даже если по несколько иной причине: если кто-то получает доступ к своему провайдеру OpenID, они получают доступ к своей личности на всех сайтах, где они использовали эту личность, что является одним и тем же недостатком использования одного и того же пароля на нескольких сайтах.

  • он слишком сильно отклоняется от того, что пользователи поймите

    имея несколько имен пользователей / паролей на разных сайтах не трудно для пользователей, чтобы понять. Пользователи хорошо понимают концепцию имен пользователей и паролей, потому что они привыкли к ним, и точка безопасности (тот факт, что пароль является секретом) действительно очевидна для них. Это действительно ясно, как работает пароль. Наличие нескольких комбинаций имени пользователя и пароля не делает это более запутанным или сложным - это одно и то же, но больше, чем один из них. Хотя запоминание нескольких паролей может быть затруднено, пользователи, по крайней мере, знают как сделать это, и как это работает.

    OpenID пытается решить проблему запоминания паролей, но в процессе он создает совершенно новую парадигму, которая полностью непрозрачна для пользователей. В отличие от пароля, безопасность которого очевидна (она просто должна быть секретной), вся безопасность OpenID происходит за кулисами, с сайтами, общающимися друг с другом, ключи и хэши, и т. д. Пользователь больше не полностью понимает, как его конфиденциальность защищается или что должно храниться в секрете от кого, потому что они не понимают, как работает система. Так, в попытке решить проблему запоминания нескольких паролей OpenID создал мистическую систему обмена ключами, которая нарушает полное понимание пользователем того, как работает аутентификация и почему она безопасна.

OpenID очень восприимчив к попыткам фишинга. Если вы запускаете сайт OpenID, попробуйте однажды изменить страницу входа, чтобы запросить идентификатор и пароль, вместо обычного подхода только запрашивать идентификатор и перенаправление к поставщику OpenID для запроса пароля пользователя. Держу пари, вы можете получить более четверти паролей вашего пользователя таким образом.

да безопасности. Используя OpenId, вы окажетесь во власти их управлению своими счетами. Вы не можете контролировать безопасность паролей и идентификаторов пользователей. Вы доверяете другой организации, чтобы убедиться, что люди приходят на ваш сайт, кто они говорят они. Если вам нужно действительно проверить, что кто-то, кто они говорят, что они есть. Вы не получите это с открытым идентификатором, не сделав какой-то вторичной проверки самостоятельно. в этом случае вы можете просто не использовать OpenId.

http://www.computerworld.com/s/article/9179224/Researchers_Password_crack_could_affect_millions

Это приходит много.

хорошее правило:

Если вам нужно собрать и сохранить частная личная идентификация информация, не используйте OpenID.

Если вам не нужно собирать и хранить частная личная идентификация информация, идти вперед и предложить OpenID как метод для входа в систему.

для электронной коммерции или где-либо еще, что вам нужно соблюдать сертификацию PCI/DSS, я бы не использовал OpenID.

Я не против, что так исключительно OpenID, однако я бы не сделал сайт, который использовал его исключительно.

  1. интерфейс ужасен.

    A. регистрация с OpenID занимает больше времени и смекалки. Обычная регистрация занимает очень мало времени или смекалки. Регистрация происходит раз, но это большие первоначальные вложения, поэтому сайт должен быть очень убедительным.

    B. вход включает в себя: три части данных вместо двух; две веб-страницы вместо одного (три в StackOverflow, на самом деле); и внешний веб-сайт. КАЖДЫЙ ВРЕМЯ.

    Си. Есть лучшие интерфейсы для подобного решения. Я использую KeePass, например.

  2. конфликты имен. Там нет никакого способа, чтобы обеспечить уникальные имена.

  3. безопасность-это ужасно.

    a. это поощряет Фиш-подобное поведение. Это не так плохо, как" проверено визой", но это близко.

    b. единственная точка отказа: если вы потеряете ничего вы потеряете все. KeePass at по крайней мере, позволяет мне физически защитить пароль (у вас должен быть жесткий диск с зашифрованной базой данных на нем).

    Си. Кросс-сайте отслеживания. Компании кредитных карт на самом деле имеют правила, регулирующие, сколько отслеживания их разрешено делать. Куки-файлы могут быть выборочно отключены или предотвращены в современных браузерах. OpenID нет правил и нет губернаторов.

  4. это на самом деле не универсальный. Google предоставляет OpenID... но не делает использовать них. Тот же для Yahoo. И для AOL. У OpenID-провайдера нет стимула разрешать использование OpenIDs от других провайдеров.

  5. OpenID полезен для аутентификации, но не для авторизация особенно для чего-нибудь чувствительного (кредитные карты, например).

лично для меня я использую один логин / пароль на сайт, и я использую KeePass (который я могу защитить физически и с двумя слоями паролей, которые должны быть взломаны), чтобы поддерживайте абстракцию "один вход для всех".

Это включает в себя StackOverflow: я создал OpenID специально для вас, ребята, и я никогда не буду использовать его больше нигде. Я сделал это, и я мириться с боль входа в систему, потому что содержание является убедительным.

но если a реальные метод auth когда-либо предоставлялся для StackOverflow, я бы прыгнул на него в мгновение ока, просто для удобства использования.

OpenID по-прежнему так же небезопасен, как и любой другой метод аутентификации на основе пароля. На самом деле, это еще хуже, потому что если кто-то получает доступ к вашему OpenID, у них есть больше, чем просто одна учетная запись сейчас. Конечно, есть и фишинговые атаки, но мы все подкованные программисты, администраторы баз данных и системных администраторов, поэтому мы не попадемся на такие вещи, верно?

безопасность аутентификации основана на доверии. Как указывали другие, почему Вы доверяете третьей стороне потенциально конфиденциальная информация? Конечно, вы можете настроить сервер OpenID самостоятельно, но сколько хлопот это против поддержания отдельных паролей на нескольких системах? Конечно, вы можете создавать безопасные пароли, которые длинны и полны не буквенно-цифровых символов, и даже хранить их все в диспетчере паролей (я делаю), но некоторые сайты имеют недостатки в том, что простая форма восстановления пароля может быть заполнена, чтобы получить доступ к сбросу пароля.

Я, вероятно, был бы склонен поддержать и даже евангелизируйте OpenID, если он защищал аутентификацию на основе закрытого ключа, a la SSH или PGP. Может быть, это вопрос поставщика, предлагающего такой метод - я еще не изучал его [пока].

OpenID хорош, если все сайты используют его. Но зарегистрироваться в OpenID только для использования одного сайта, это немного слишком много. Регистрация в OpenID не так проста, как прямая регистрация на сайте(с точки зрения потребителя).

Мне смешно читать эту тему, она точно отражает мой опыт работы с OpenID:

StackOverflow.com для меня это была причина получить OpenID.
Многие поисковые запросы Google привели меня на этот сайт, и я никогда не мог оставлять комментарии.
Я много раз думал о регистрации, но не из-за OpenID. Мне было непонятно, что именно это было.
Но однажды я принял решение зарегистрироваться, и это заняло у меня некоторое время, но я не жалею об этом, потому что я используйте его каждый день. Это дает мне более безопасное чувство, хотя я знаю, что это только одна учетная запись, которая приведет ко многим проблемам, если ее поймают.

Так что для меня OpenID-это действительно хороший способ быстро войти на сайты, которые я не знаю, но и на больших сайтах, таких как StackOverflow.com
Основная проблема заключается в том, что новые пользователи должны быть введены в процесс регистрации, а затем узнать, насколько велик OpenID на самом деле.

я наткнулся на статью сегодня, которая делает очень сильный аргумент для пропуска OpenID, от кого-то, кто изначально был в восторге от этого.

Open ID-это кошмар

Я всегда был главным сторонником Открыть код. Мне нравится эта идея и намерение - это отличное решение давняя проблема и решает многое вопросов для разработчиков. К сожалению, это создает тонну больше для бизнеса владельцы.

остальное читайте здесь:http://www.wekeroad.com/2010/11/17/open-id-is-a-party-that-happened/

Это не моя история, поэтому я не принимаю это.

Он хорош как дополнение к обычной регистрации, но не очень прост в использовании, если это единственный способ войти на ваш сайт. Посмотрите на регистрацию на stackoverflow-все сайты специально упомянуты, чтобы помочь людям понять, что это такое. А этот сайт для гиков :) Так что минус-это сложность.

см. Также этой ссылке

Если у вас есть сайт, который требует высокого уровня безопасности, вы не хотите оставить обработке учетных данных с внешнего провайдера, где у вас нет контроля над доступом. Если провайдер OpenID будет взломан, вы оставите свою безопасность до них.

каждый может подключить то, что я делаю на одном сайте, к тому, что я делаю на других сайтах при использовании OpenID, потому что это то же самое везде. Поэтому я бы не использовал тот же идентификатор, который я использую здесь для порно-сайта, например.

есть много причин вот один аккаунт дает доступ ко всем. если это будет скомпрометировано, вы попадете в беду.

Если вы настраиваете страницу, которая использует openid, то вы должны знать, каждый может настроить один сервер openid (кроме спамеров может сделать это).

--

но openid есть хорошие идеи, и я хотел бы использовать его!

Я удивлен, что кто - то, кто использовал переполнение стека, не мог придумать причину не использовать OpenId-потому что это раздражает, как ад?!

Тед Дзюба сделал гораздо лучшую работу разрыв в OpenId чем я бы, так что просто прочитайте, что он написал.

еще одна веская причина - Facebook Connect уже, кажется, делает очень хорошо. По мере роста Facebook членство продолжает расти, это сделает поддержку Facebook Connect намного больше ценный.

в какой-то момент я предполагаю, что Facebook может подключить провайдера OpenId... но на самом деле, зачем им это нужно?

из того, что я могу сказать, Похоже, что провайдер OpenID не обязан выдавать адрес электронной почты владельца учетной записи, хотя некоторые это делают.

Если для связи с пользователями вашей службы требуется адрес электронной почты (например, для отправки информационного бюллетеня, который предпочитают многие люди, которые никогда не слышали о RSS), вам может потребоваться захватить OpenID и проверить адрес электронной почты.

система, в которой требуется только электронный адрес и пароль и использует сообщение электронной почты активации будет меньше работы для пользователей.

количество провайдеров учетных записей OpenID, которые у вас есть (google, yahoo, twitter и т. д...) равняется количеству учетных записей, которые вы можете автоматически использовать для входа на веб-сайт с поддержкой OpenID. Это, конечно, не преимущество, но это может быть большим недостатком.