O Open ID é melhor que o sistema de logon usual? [fechadas]

Estamos desenvolvendo um sistema web e considerando o uso do recurso Open Id. Você acha que é melhor do que a maneira usual de logar usuários? Se usarmos o recurso Open Id, isso significa que os usuários serão redirecionados para o site de sua escolha de provedores Open Id, que executariam mais ações. Então eles precisam fazer o login lá e ser redirecionados de volta ao nosso site. Os usuários ficariam confortáveis ​​com isso?

Nota: é mais um site de rede social, mas não é nada volumoso.

Adoro o OpenID e é absolutamente melhor que a metáfora "tradicional" de credenciais por site. Não quero mais credenciais para gerenciar e não quero confiar no J. Random site para armazenar credenciais que forneço com segurança. Eu acho que os usuários se sentirão mais confortáveis ​​com isso à medida que se tornar mais comum. Esperemos que se torne mais comum.

Por favor, aponte se estamos errados.

Visualizações negativas

• Acreditamos que, para usuários em geral, talvez NÃO seja o caminho preferível.
• Usuários com menos conhecimento técnico pensariam duas vezes ou ficariam confusos.
• Eles não estão acostumados.
• Eles precisam usar uma identificação aberta de um determinado provedor, o que pode ser irritante para eles.
• Eles podem odiar porque serão redirecionados para outro site.
• Eles podem entender errado!

Vistas positivas

• É confiável porque não estamos pedindo suas credenciais.
• É mais rápido após o login.
• "Supera o esgotamento de credenciais". É muito difícil rastrear quantas pessoas pulam um site porque se recusam a manter outro nome de usuário / senha. - Kara Mafia

Não se esqueça de que não precisa ser uma opção de opção. Você pode (e provavelmente deveria) adicionar suporte ao OpenID, além dos métodos tradicionais de login. Isso não afugenta os usuários 'gerais' - eles apenas usam o método existente, tornando a vida muito mais agradável para quem usa o OpenID.

O OpenID oferece várias vantagens, dentre elas a principal, permitindo que você fique preguiçoso com a autenticação. A autorização ainda é seu problema, mas pelo menos você não precisa se preocupar tanto com o armazenamento seguro de credenciais. Isso é uma coisa boa na minha opinião. A 'rede precisa de mais' partes confiáveis ​​'', como falha do servidor.

Se você fizer login com um OpenID, precisará fazer login no seu provedor apenas uma vez - na segunda vez, o usuário nem verá a página do provedor.

Além disso, talvez o RPXnow seja interessante.

Eu, pessoalmente, cruzei a linha para amar o OpenID. Eu costumava ser resistente a isso por paranóia geral. Agora é demais para manter tudo em ordem. Concordo que usuários não-tecnológicos podem ter dificuldades no início, mas acho que quanto mais difundido se torna, mais confortáveis ​​as pessoas ficarão. Alguns sites oferecem um sistema de autenticação tradicional (local) e também a opção de usar o OpenID. Eu acho que a educação vai ajudar muito aqui, por isso, se você explicar claramente o que é o OpenID e seus benefícios, isso ajudará bastante na aceitação.

Como uma tecnologia de logon único (SSO), ela está aberta aos riscos gerais de qualquer SSO. Dessa perspectiva, ainda não estou pronto para integrar meu banco ou sites médicos a ele :) Não que seja oferecido por eles de qualquer maneira ...

Vou falar disso com o OpenID, que você normalmente quer OAuth, que recebe baixa criminalidade da imprensa.

Outros já elaboraram o suficiente sobre o OpenID, o OAuth acrescenta ao conjunto que outro site não apenas sabe quem você é através do seu provedor OpenID, mas também pode dizer o que o site em questão tem permissão para saber sobre você.

• precisa de e-mail para detalhes do usuário
• precisa de nome / sobrenome para detalhes do usuário
• precisa de país

pode estar tudo bem. Que tal aqueles:

• número da Segurança Social
• Número do Cartão de Crédito
• número de telefone
• endereço postal

Portanto, o OpenID + OAuth é uma ótima combinação: ao usar os dois, você não apenas tem um único local para manter um nome de usuário e senha, mas também onde mantém detalhes sobre si mesmo e não perde a visão geral sobre qual site tem acesso a quais detalhes sobre você.

Eu posso pensar em um cenário em que o OpenID ganhará muitos usuários no local. Suponha que um site importante perca milhões de senhas de usuários para hackers maus [*] e a lista vaze. A maioria dos usuários entrará em pânico, não apenas por causa de uma conta específica, mas porque eles usam o mesmo login / senha para vários sites. E eles fazem. Eu sei que eu faço. E eu não acompanho essas contas, então o resultado é que eu nunca posso alterar minhas senhas .

Agora, quando sei que um vilão pode roubar minhas contas, o que farei? Vou tentar passar por essa tarefa esmagadora de alterar senhas. Ou então, vou me deparar com o conceito OpenID e tentar converter todas essas contas na ocasião. Isso significa que efetivamente ainda tenho um único login / senha para vários sites, mas agora posso pelo menos facilmente alterar a senha em todos eles . E caso hackers mal-intencionados roubem meu OpenID, tenho um único problema para solicitar a redefinição de senha ou pelo menos para desativar a conta.

[*] - leia: script kiddies

Quanto mais eu visito vários sites, mais desejo um recurso de logon único.

Todo site pensa que o deles é o mais importante. Todo site insiste em que você crie uma conta antes de fazer qualquer coisa. StackOverflow, Serverfault, Wikipedia, WowWiki, Wowhead, MS Forums, CodeProject, CodePlex, etc., ...

Todos eles exigem que eu crie selecione um nome de usuário exclusivo, uma senha e garfo sobre o meu endereço de email. Em seguida, eles insistem em que eu verifique meu e-mail antes de me deixar postar, editar, fazer download, clicar, comentar, avaliar etc. Não há motivo para não me deixar usar o site no instante em que entrei nele.

Eu só quero que todos se calem. Eu quero um login único que eu possa usar em qualquer lugar, com um endereço de e-mail que seja um buraco negro, para que eu nunca precise ler o lixo deles.

OpenID parece ser isso. Mas isso só foi possível quando o Google o apoiou. Antes disso, era o sistema de login próprio do StackOverflow - que eles tinham preguiça de se hospedar. Agora que o Google suporta o OpenID, é realmente concebível que todos já o tenham.

Hoje em dia, detesto ter que criar contas em sites e xingar os operadores que acham que eu deveria criar uma conta primeiro.

Não me faça detestar seu site também.

Existem vantagens em usar o openId nos dois lados: 1. Os desenvolvedores não precisam implementar o sistema de login (banco de dados, processamento de clientes, segurança de aplicativos etc.) 2. Os usuários não precisam se lembrar de um conjunto extra de credenciais.

Por outro lado, você pode assustar alguns usuários que não são realmente conhecedores de computadores e relutam em ceder, digamos, suas credenciais do Google para fazer login no seu site.

A melhor solução seria um sistema hibrid que permitisse o registro no OpenID e no local, mas isso realmente arruinaria o primeiro benefício que mencionei.

A outra coisa que o OpenID oferece aos usuários é a capacidade de usar credenciais mais fortes. Vejo alguma preocupação com o phishing nas respostas aqui, mas você pode escolher um provedor OpenID que não use credenciais phishable / replayable. Certificados SSL ou cartões de informações, por exemplo, são suportados em alguns fornecedores. O myOpenID tem algo em que exige que você atenda uma ligação antes de efetuar o login. Tenho certeza de que existem outros sites que usam tokens de hardware.

Sim, a maioria dos usuários provavelmente apenas clicará no botão Yahoo e não usará isso. Mas isso lhes dá a opção, e você não precisa se preocupar com os detalhes da implementação. Afirmo que é mais fácil adicionar suporte OpenID ao seu site do que oferecer suporte a certificados SSL de maneira entre navegadores. E é certamente mais fácil do que suportar todos os certificados SSL, cartões de informação, verificação por telefone, verificação de token, DDRpass, autenticação de estereograma de pontos aleatórios ou qualquer coisa maluca que eles pensem a seguir.

Não estou tentando mudar de idéia. Por favor, considere estes fatos. O OpenID é apenas duas coisas diferente do sistema de autenticação de usuário + senha:

• local onde sua autenticação acontece. Se você usou nome + senha antes, o OpenID altera o local onde a senha é verificada. Se você usou o certificado antes, o OpenID muda onde o certificado está marcado.
• O URL do OpenID é exclusivo para toda a WWW (sem considerar os DNS-es raiz alternativos)

O que estou tentando apontar é que nada mais é alterado:

• O OpenID não substitui o procedimento de registro (mas pode simplificar o registro via extensão sREG)
• não é menos seguro. Se alguém usou senhas curtas antes, ele as usará novamente.
• isso não significa que você não pode ter centenas de IDs diferentes para todos os sites disponíveis para pessoas paranóicas.
• isso não significa " OMG, que é uma tecnologia nerd, fuja !! ". Não, você pode criar bons botões brilhantes, como o grupo de sites StackOverflow fez para fornecedores comuns de OpenID. Isso é muito mais fácil de usar.
• isso não implica redirecionamentos. Você pode fazer autenticação no iframe ou em uma janela separada do navegador.

É como qualquer outra tecnologia. A maioria das coisas que as pessoas falam sobre isso é mito porque não demoraram para estudá-lo ou porque usaram implementação incorreta.

O OpenID é mais complicado e o torna dependente dos outros provedores que não caem.

Um dos problemas que o StackOverflow tem com isso é que, se você entrar com um OpenId diferente do habitual, perde suas classificações e insígnias (talvez eles tenham corrigido isso até agora, não tenham ouvido). Houve uma vez em que não consegui entrar por uma hora porque meu provedor estava inoperante.

Eu odeio o openID e foi o principal motivo para NÃO me inscrever no serverfault / stackoverflow E a privacidade do usuário? Alguns usuários, como eu, são extremamente paranóicos e não gostam de misturar informações do facebook / yahoo / google entre vários sites

O OpenID enquanto agradável conceitualmente enfrenta a IMO uma batalha difícil porque é a) difícil para os desenvolvedores implementarem eb) difícil para os usuários se acostumarem ao conceito de usar um URL. O padrão de uso de nome de usuário / senha está bastante arraigado neste momento.

Dito isto, dê uma olhada no Clickpass ( www.clickpass.com ). Eles estão tentando ativamente tornar o OpenID mais fácil de usar.

Boa sorte.

Ainda não.

Ele precisa de suporte do navegador. Os navegadores completariam uma excelente experiência do usuário com o OpenID, pois eles poderiam gerenciar suas identidades de maneira centralizada e tornar as coisas muito simples (parece que o site que você está visitando está usando o OpenID, deseja usar o http://yahoo.com / usuário para efetuar login?) e seguro.

Mas agora, você precisa de um esforço significativo para tornar o OpenID utilizável. Na minha opinião, você precisa fornecer o OpenID como uma opção ou fornecer seu próprio provedor de OpenID aos seus usuários (tornando-os livres para usar o serviço de terceiros).

Pense nos clientes. Seu cliente-alvo é um nerd? Se sim, o OpenID impressionará seu cliente e ajudará seu site. Caso contrário, o trabalho extra para torná-lo não-geek vai drenar recursos da entrega de conteúdo com o qual o cliente se importa. Concentre-se em agregar valor ao seu cliente primeiro.

O problema com o OpenID é ótimo para coisas como ServerFault, onde o nível de confiança na identidade de alguém não é realmente uma consideração - uma vez que você começa a se importar, é aí que a vida fica complicada.

Fica complicado, porque quando eu controlo meu provedor de autenticação, confio implicitamente nesse provedor porque o executo e, presumivelmente, o implementei no padrão exigido. Quando movo a autenticação para fora do meu controle, agora também tenho que atribuir um nível de confiança ao provedor de autenticação.

No meu empregador, por lei, não posso confiar em QUALQUER grande fornecedor OpenID por aí porque:

• Eles não impõem alterações periódicas de senha
• Eles não impõem o comprimento / complexidade da senha
• Não consigo auditar suas práticas de gerenciamento de sistemas

Essa não é uma lista abrangente, de forma alguma.

Para fazer o OpenID funcionar em aplicativos não triviais, preciso de um provedor confiável - e devo limitar meus usuários a esse (s) provedor (es) confiável (s). Isso acaba com toda a vantagem do "nome de usuário / senha" únicos. Mesmo assim, talvez ainda seja necessário verificar a identidade de usuários com níveis mais altos de confiança. Parece muito trabalho para mim, especialmente quando gerenciar seu próprio provedor de autenticação não é ciência do foguete.

Na IMO, os governos têm o potencial de fazer essa tecnologia funcionar. Se uma DMV estadual / provincial ou a agência postal oferecer um serviço em que os cidadãos estabeleçam credenciais on-line, acessíveis via OpenID, você poderá confiar nas credenciais da agência postal / DMV. (Como o governo diz: 'Você confiará em nós'). Acredito que países como a Noruega e a Dinamarca já estão emitindo credenciais individuais de PKI.

Para um site de rede social, o OpenID ajudará a atrair os entendidos em tecnologia. No entanto, se essa for sua única opção, isso assustará todos os outros. Os usuários estão acostumados a se inscrever com novos logons e senhas em cada site. O OpenID é novo e estrangeiro e pode fazer com que os usuários se perguntem por que estão dando suas credenciais a terceiros. Para um usuário típico, o OpenID também pode dizer GiveMeYourInformationSoICanSpamYou ... é apenas mais um motivo para que duvidem da integridade do seu site.

Em resumo - determine sua base de usuários e raspe o OpenID ou use o OpenID e um sistema de login gerenciado por aplicativos.

Eu me pergunto por que as pessoas pensam que o openID é mais seguro. Para usuários experientes em tecnologia, isso pode se aplicar, mas um usuário comum não identificaria a diferença entre um login openID real e um falsificado que raspará a senha.
Pior ainda, eles também saberão qual conta do openID se associar a essa senha e provavelmente poderão causar muito mais danos do que com uma simples combinação de nome de usuário / email / senha.

O openID é uma solução técnica para usuários técnicos e não é muito útil para usuários comuns. Portanto, para sites técnicos, pode florescer, mas não vejo isso em sites comuns tão cedo.

Eu diria que sim, o OpenID é melhor do que a solução de login usual do ponto de vista do usuário , por estes motivos:

• Não preciso me lembrar de outro nome de usuário e senha para o seu site
• Posso usar um ID de login para vários sites, se quiser
• Eu sempre recebo o mesmo nome de usuário - sem adicionar números e porcaria aleatória no final dos IDs de login até obter um que é gratuito
• Ele ficará mais popular e melhor compreendido pelos usuários com o passar do tempo
• Explicar aos usuários como ele funciona e os benefícios para eles é bem direto
• A maioria dos usuários terá uma conta de e-mail gratuita do Yahoo ou do Google que eles podem usar como um provedor OpenID -> eles provavelmente nem sabem que isso é possível.
• Os usuários ainda podem fornecer um endereço de e-mail diferente ao provedor do OpenID (se for uma conta gratuita do yahoo / gmail / qualquer que seja), na qual você pode clicar em um link para confirmar, como um backup para enviar e-mails de "esqueci minha senha" ou outras notificações ou informações de marketing para.

Lembre-se de que, apenas porque você tem a opção de OpenID, isso não significa que você também não pode oferecer aos usuários a opção de backup de ter uma combinação tradicional de nome de usuário e senha, caso eles não desejem usar o OpenID ou não tenham um provedor. Não há nada de errado em deixar os usuários escolherem o que eles querem, se souberem, e usar o OpenID como padrão :)

O Open ID é uma daquelas coisas que você ama ou detesta a idéia - acho que realmente se resume à idéia de ver a centralização da "autenticidade" com entusiasmo ou ceticismo.

Em outras palavras, quando você descobre que uma conta em um site aberto está comprometida, você pensa: "ah, merda, agora estou potencialmente comprometida em todos os sites em que uso esse openid" ou "oh, bom, agora eu só preciso alterar minha senha para todos esses sites em um só lugar ".

Trabalhando nesse campo, acabamos com várias informações de credenciais de login. O OpenID me permite usar uma conta já estabelecida para me autenticar sem precisar configurar outra conta e senha. Com muitos sites começando a oferecer suporte ao OpenID, há muito mais opções de escolha em qual autenticador OpenID você usa para validar sua identidade.

Você também pode configurar seu próprio autenticador OpenID em seu próprio site, se não quiser usar um dos já existentes. Dessa forma, você pode manter mais controle sobre exatamente quais informações estão sendo fornecidas quando são autenticadas por elas.

Acho que ter a opção de criar uma conta ou usar o OpenID para autenticar é uma ótima combinação que abrange tanto a segurança paranóica quanto a que deseja a facilidade de uso.

Acho que o OpenID é ótimo, e estamos considerando isso no nosso site. No entanto, precisaríamos do oAuth e estaríamos querendo o email dos usuários também. Usamos isso extensivamente, e uma coisa que fazemos é enviar um boletim por e-mail. Permitimos a exclusão, mas, para o nosso sistema funcionar, gostaríamos disso.

Parece que há um grupo rígido de técnicos que odeiam abrir mão de um usuário / senha, e eu posso entender isso. Alguns são defensores da privacidade, e eu entendo completamente. Alguns são preguiçosos, não querem configurar um usuário / senha, outros são apenas compradores. Eles querem obter informações da Internet, mas nunca pagam por isso de nenhuma maneira (publicidade, custo, etc.). Acho que é uma minoria de pessoas, pois a maioria das pessoas entende que precisa contribuir ou pagar de alguma forma .

Você precisa examinar seu site, quais detalhes / informações você precisa e depois decidir se ele atende às suas necessidades. Caso isso aconteça, você pode adicioná-lo além do método de login atual. Você precisa entrar em contato com as pessoas, informá-las sobre coisas etc.

Ter uma maneira central de se autenticar é ótimo, mas há problemas, como mencionado, com a falta de alterações / complexidade de senha. No entanto, esse é um problema do usuário mais do que um problema do site. Um compromisso ocorre no nível do usuário, o qual nunca resolveremos. Mas isso significa que você, como proprietário do site, não é responsável se ocorrer.

O único problema que vejo no OpenID é o seguinte:

Imagine dois sites afiliados. Ambos permitem o login OpenID. Certamente, eles poderão compartilhar as estatísticas de atividades entre si - digamos, eu faço a ação X e a ação Y no primeiro site e, quando visito o segundo site, sou bombardeado com anúncios direcionados, de acordo com minhas atividades no primeiro site. Por alguma razão, a falta de isolamento entre os logins do OpenID parece um pouco desagradável para mim.

Mas o fato é que a conveniência final do OpenID (um conjunto de credenciais, esperançosamente seguro,) não fica ofuscado pela desvantagem acima mencionada. Eu uso o OpenID sempre que posso e, se eu desenvolvesse um serviço da Web para uso público, eu definitivamente o faria dar suporte ao OpenID (talvez com uma opção de registro convencional).