OpenID é realmente tão ruim assim?

Eu já vi essa pergunta no Quora, onde muitas pessoas parecem concordar que o OpenID é ruim, chegando a afirmar que:

O OpenID é a pior "solução" possível que já vi em toda a minha vida para um problema que a maioria das pessoas realmente não tem

Então eu vi artigos e tweets referenciando essa pergunta dizendo que o OpenID perdeu e o Facebook venceu.

É triste ler como eu gosto bastante do OpenID (ou pelo menos uma ideia por trás dele). Eu literalmente odeio obter mais um login / senha para a página (eu esquecerei mesmo assim) - é um problema muito sério para mim e conheço muitas pessoas com o mesmo problema. Por isso, pensei que o OpenId é uma ótima solução, mas não tenho mais certeza.

Portanto, a questão é: ainda devo me preocupar em implementar o OpenID ou não vale a pena? Qual é a maneira mais robusta e conveniente (da perspectiva do usuário) de identificar e autenticar um usuário?

Essa discussão sempre surge devido a um fato amplamente ignorado: o OpenID nunca foi projetado como protocolo de login. Essa é uma má atribuição posterior.

O OpenID foi concebido como serviço de verificação de URL da página inicial . E para isso era viável. Mas, devido à falta de alternativas, foi rapidamente adaptado como protocolo geral de login. Alguns recursos foram criados (registro simples, troca de atributos) para facilitar isso melhor. Mas, em sua essência, o OpenID é um esquema de verificação de autoridade de URL.

É daí que vêm os erros de usabilidade e implementação. A vantagem do multi login é importante apenas para usuários técnicos, não uma simplificação real para usuários comuns. (Não me inicie com robustez; apenas recuperei meu login no Stackoverflow.)
Mas ainda não existe uma alternativa amplamente difundida ou tecnicamente superior (havia algum OpenID anterior, mas faltava um chavão e uma aceitação de marketing). Como um ávido defensor de código aberto, eu consideraria o Microsofts Passport ou o Cardspace o que quer que seja, mas atualmente não é uma opção.

Voltar à sua pergunta: Atenha-se ao OpenID. Para usuários comuns, tornam possíveis os pares de nome de usuário / senha da velha escola e o OpenID opcional. Talvez o OpenID3 encontre uma adoção ampla e corrija alguns dos problemas. Ou talvez algo mais apareça. A ideia geral por trás do conceito foi legal.

Você não pode implementar AMBOS?

Todo mundo escolhe a opção com base em sua preferência e estado de paranóia.

O OpenID oferece grande comodidade. Ele também fornece um risco de segurança ainda maior.

[Risco do usuário] E se o Facebook / Google / etc. decide que sua conta foi comprometida e você precisa fornecer seu número de telefone ou uma cópia do passaporte para reativá-la? Você aceitaria isso?

[Risco da empresa] E se o Facebook / Google / etc. decidir encerrar o serviço ou começar a cobrar por isso? Então, como proprietário de um site, você está ferrado demais.

[Espionagem de dados] Por que deixá-los reunir as estatísticas detalhadas de muitos sites de consumidores e ajudá-los a criar perfis pessoais de pessoas? Quem sabe o que eles farão com isso? Vendê-lo, usá-lo para ajustar suas táticas de marketing, enviá-lo à CIA?

Cara, é tão básico e simples - evite ficar dependente de alguém e decida por si mesmo o que quando e se acontecerá com você.

Na verdade, acho que o principal problema do OpenID não é a implementação ou a facilidade de uso é ruim. Também não acho que sejam os problemas de segurança do OpenID, por si só. Eu acho que o principal problema é que é uma solução em busca de um problema - um problema que, para a maioria dos usuários, não é realmente um grande negócio.

Uma solução melhor para o problema de ter que lembrar muitas senhas, etc, é usar um aplicativo gerenciador de senhas. Um gerenciador de senhas até simplifica o processo de registro para você, pois preenche automaticamente todos os campos comuns (nome, etc.) e gera automaticamente uma senha aleatória. Geralmente, a única coisa que você precisa fazer é verificar seu endereço de email.

O problema do openid, ou mais geral, de ter uma seleção de provedores de conta no site para fazer login no site, é que os usuários tendem a esquecer qual provedor escolheram antes. Um dia eles podem usar o google, no próximo mês eles podem usar o facebook e três meses depois, talvez o twitter. Para o site, serão três usuários diferentes. Nesse caso, os usuários ficam frustrados porque podem fazer login no seu sistema, mas não na mesma conta que anteriormente.

Os principais problemas com o OpenID, como eu vejo, são dois:

• A) Não é fácil de usar para pessoas não técnicas
• B) Não é tão amplamente utilizado quanto as alternativas

Em A, para um usuário que vê um botão "login com facebook" é fácil e simples de obter. Ver um controle com 10 ícones (Google, Yahoo, AOL, etc) é confuso. Ainda mais que o "login" é uma URL, algo que muitas pessoas não sabem que existe, pois tudo o que fazem é digitar uma pesquisa no Bing / Google e seguir os links. Conheço muitas pessoas que, quando vão ao Facebook, pesquisam o Facebook no Google e clicam no link, não tentam explicar o conceito de domínio para elas!

Em B, o Facebook é o padrão. É um pouco como o PayPal e as alternativas: para um comércio eletrônico, o PayPal pode não ser a melhor opção em termos de preço devido às cobranças nas transações, mas se eles não usam o PayPal, estão arriscando muitos clientes em potencial. Sobre o login é o mesmo: o Facebook abre sua web para 500 milhões de usuários ativos na Internet e conhecedores de tecnologia o suficiente para provavelmente 'obter' seu site. Honestamente, por que você deveria gastar mais tempo apoiando outras coisas? Passe esse tempo desenvolvendo o produto!

Devido a B, A se torna pior à medida que os usuários esperam o login no Facebook, e o Open Id os confunde mais.

E não começo com os problemas já discutidos no Code Horror sobre o login de usuários no mesmo site com diferentes contas de Open ID e os problemas que isso pode gerar ...

No geral, gosto da ideia do Open ID, mas (infelizmente?) O Facebook fez isso melhor.