ما هي الأسباب التي تمنعك من استخدام OpenID؟

Question

ترى قدرًا لا بأس به (في مجتمع Geek على أي حال) حول OpenID.يبدو وكأنه فكرة جيدة.أقوم بتطوير موقع ويب يستهدف جمهورًا أقل غريب الأطوار إلى حد ما (ولكن ليس Mom and Pops أيضًا) لذا يجب أن أتساءل عما إذا كان OpenID سيكون "صعبًا للغاية" بالنسبة لبعض الجماهير.

ماذا تعتقد؟وبغض النظر عن ذلك، هل هناك أي أسباب فنية أو غير فنية أخرى لعدم استخدام OpenID؟

Answer 1

لا يزال المستخدمون العاديون لا يفهمون ما هو OpenId، أو الغرض منه، أو كيفية استخدامه.لن يتمكن والداي من تسجيل الدخول إلى Stack Overflow، على سبيل المثال.

ومع ذلك، يتعلق الأمر إلى حد كبير بواجهة المستخدم.لا يوجد شيء يمنعهم بطبيعتهم من استخدام OpenId - فهم يحتاجون فقط إلى واجهة مستخدم تجردهم من OpenId، وتسمح لهم فقط بتسجيل الدخول باستخدام حساب Google الخاص بهم (على سبيل المثال).

Answer 2

قد يكون من غير الدقيق بعض الشيء القول بأن الشخص العادي لا يفهم OpenID.

في معظم الحالات، مع القليل من التسويق المقنع (على سبيل المثال، "استخدام تسجيل دخول واحد على جميع المواقع!!!11!) يمكنهم أن يفهموا أنه يسمح لهم بتسجيل الدخول إلى المواقع باستخدام معلومات تسجيل دخول واحدة بدلاً من وجود مجموعة من أسماء المستخدمين وكلمات المرور المختلفة في مواقع مختلفة.

ومع ذلك، تكمن المشكلة في أنه بالنسبة للمستخدم العادي، فإن تجربة OpenID بأكملها تتعارض مع ما يعتقدون أنه أمان عبر الإنترنت.

• لن يثق به المستخدمون تلقائيًا

  من خلال عمليات تسجيل الدخول العادية باسم المستخدم/كلمة المرور، يدرك المستخدمون أن كلمة المرور يجب أن تظل سرية، وهذا ما يحمي خصوصيتهم عند تسجيل الدخول إلى أحد المواقع.كيف يمكنهم فهم التبادل الذي يجري بين موقع عميل OpenID وموفر OpenID الخاص بهم؟كل ما يعرفونه هو أنه لم يكن عليهم إدخال كلمة مرور (بافتراض أنهم "يقومون بتسجيل الدخول دائمًا" لدى مزود OpenID الخاص بهم) - لذا فهو غير آمن، أليس كذلك؟أعني، في نظر المستخدم، كيف يمكن أن يكون آمنًا إذا لم يعط كلمة مرور؟وهذا يمكن أن يؤدي إلى عدم ثقة المستخدم.

• يجعل التصيد الاحتيالي سهلاً

  يعرف (العديد) من المستخدمين أنه من الخطأ إعادة استخدام نفس كلمة المرور لحسابات مختلفة، ولكن يبدو أن هذا هو بالضبط ما يفعله OpenID.ماذا لو افترض المستخدم ببساطة أن كل ما يفعله مزود OpenID الخاص به هو مشاركة كلمة المرور الخاصة به مع جميع المواقع المشاركة؟أعني، كيف يمكن لـ OpenID أن يقوم "بتسجيل الدخول لهم" على جميع هذه المواقع؟إذا افترض المستخدم أنه من خلال OpenID، تصبح كلمة المرور الخاصة به معروفة لجميع مواقع OpenID المشاركة، فقد يفترض أنه من المعقول تمامًا إعطاء كلمة المرور هذه لأي من تلك المواقع.إنه كابوس التصيد.تخيل وضع هذه العبارة على موقعك:"الرجاء إدخال اسم المستخدم (موفر OpenID) الخاص بك [ ] وكلمة المرور [ ]".أنت تقوم بالتصيد الاحتيالي للناس بالفعل.

  يجب ألا ننسى أيضًا أن المستخدم سيكون كذلك يمين في شبهاتهم في جهة واحدة ولو لسبب مختلف قليلاً:إذا تمكن شخص ما من الوصول إلى موفر OpenID الخاص به، فإنه سيتمكن من الوصول إلى هويته في جميع المواقع التي استخدم فيها تلك الهوية، وهو نفس الجانب السلبي لاستخدام نفس كلمة المرور في مواقع متعددة.

• إنه ينحرف كثيرًا عما يفهمه المستخدمون

  إن وجود أسماء مستخدمين/كلمات مرور متعددة في مواقع مختلفة ليس من الصعب على المستخدمين فهمه.يفهم المستخدمون مفهوم أسماء المستخدمين وكلمات المرور جيدًا، لأنهم معتادون عليها، كما أن نقطة الأمان (حقيقة أن كلمة المرور سرية) واضحة لهم حقًا.من الواضح حقًا كيف تعمل كلمة المرور.إن وجود مجموعات متعددة من اسم المستخدم وكلمة المرور لا يجعل الأمر أكثر إرباكًا أو تعقيدًا - فهو نفس الشيء، ولكن أكثر من واحد منهم.على الرغم من أن تذكر كلمات مرور متعددة قد يكون أمرًا صعبًا، إلا أن المستخدمين يعرفون ذلك على الأقل كيف للقيام بذلك، وكيف يعمل.

  يحاول OpenID حل مشكلة تذكر كلمات مرور متعددة، ولكنه في هذه العملية ينشئ نموذجًا جديدًا تمامًا، وهو نموذج مبهم تمامًا للمستخدمين.على عكس كلمة المرور، التي يكون أمانها واضحًا (يجب أن يكون سريًا فقط)، فإن كل إجراءات الأمان الخاصة بـ OpenID تتم خلف الكواليس، حيث تتواصل المواقع مع بعضها البعض، وتتواصل المفاتيح والتجزئة، وما إلى ذلك.لم يعد المستخدم يفهم بشكل كامل كيف تتم حماية خصوصيته أو ما يجب أن يبقى سرا ممن، لأنه لا يفهم كيف يعمل النظام.لذا، في محاولة لحل مشكلة تذكر كلمات مرور متعددة، أنشأت OpenID نظامًا غامضًا لتبادل المفاتيح الذي ينتهك فهم المستخدم الكامل لكيفية عمل المصادقة وسبب كونها آمنة.

Answer 3

OpenID عرضة بشكل مذهل لمحاولات التصيد.إذا قمت بتشغيل موقع OpenID، فحاول تغيير صفحة تسجيل الدخول يومًا ما لطلب المعرف و كلمة المرور، بدلاً من الطريقة العادية المتمثلة في طلب المعرف فقط وإعادة التوجيه إلى موفر OpenID لطلب كلمة مرور المستخدم.أراهن أنه يمكنك الحصول على أكثر من ربع كلمات مرور المستخدم الخاص بك بهذه الطريقة.

Answer 4

ونعم الأمن. مستخدما OpenID يضعك تحت رحمة لهم بالإدارة حساباتهم. لديك أي سيطرة على هويات أمن كلمة السر والمستخدم. كنت الثقة بعض المنظمات الأخرى للتحقق من أن الناس يأتون إلى موقعك هم الذين يقولون انهم هم. إذا كنت بحاجة إلى التحقق حقا أن هناك من هو الذي يقولون هم. فلن تحصل على هذا بالمعرف مفتوحة دون أن تفعل نوعا من التحقق الثانوي نفسك. وفي هذه الحالة قد كذلك مجرد عدم استخدام معرف OpenId.

http://www.computerworld.com/s/article/9179224/Researchers_Password_crack_could_affect_millions

Answer 5

وهذا يأتي كثيرا.

وهناك قاعدة جيدة:

<اقتباس فقرة>   

إذا كنت بحاجة لجمع والحفاظ على   خاصة تحديدها شخصيا   المعلومات، لا تستخدم رض.

     

إذا كنت لا تحتاج إلى جمع والحفاظ على   خاصة تحديدها شخصيا   المعلومات، والمضي قدما وتقديم هوية OpenID   كوسيلة للدخول.

لوالتجارة الإلكترونية، أو في أي مكان آخر التي تحتاج إلى الامتثال PCI شهادة / DSS، وأنا لن تستخدم رض.

وأنا لا أمانع أن SO هو حصرا رض، ولكن أود أن لا تجعل أحد المواقع التي تستخدم حصرا.

Answer 6

1. الواجهة فظيعة.

   أ.يستغرق التسجيل باستخدام OpenID المزيد من الوقت والدهاء.يستغرق التسجيل العادي القليل جدًا من الوقت أو الذكاء.يحدث التسجيل مرة واحدة، ولكنه استثمار كبير مقدمًا، لذلك يجب أن يكون الموقع كذلك جداً قهري.

   ب.تسجيل الدخول يتضمن:ثلاث قطع من البيانات بدلاً من اثنتين؛صفحتان ويب بدلاً من واحدة (ثلاث في StackOverflow، في الواقع)؛وموقع ويب خارجي.كل مرة.

   ج.هناك واجهات أفضل لهذا النوع من الحلول.أستخدم KeePass، على سبيل المثال.

2. تضارب الأسماء.لا توجد طريقة لضمان الأسماء الفريدة.

3. الأمن فظيع.

   أ.إنه يشجع السلوك الشبيه بالتصيد الاحتيالي.إنها ليست سيئة مثل "التحقق بواسطة Visa"، لكنها قريبة.

   ب.نقطة الفشل الوحيدة:لو خسرت أي شئ، تخسر كل شئ. يسمح لي KeePass على الأقل بحماية كلمة المرور فعليًا (يجب أن يكون لديك القرص الصلب الذي يحتوي على قاعدة البيانات المشفرة عليه).

   ج.تتبع عبر المواقع.لدى شركات بطاقات الائتمان في الواقع قواعد معمول بها تحكم مقدار التتبع المسموح لها به.يمكن تعطيل ملفات تعريف الارتباط أو منعها بشكل انتقائي في المتصفحات الحديثة.OpenID ليس لديه قواعد ولا حكام.

4. إنها ليست عالمية في الواقع.توفر Google OpenID...ولكن لا يستخدم هم.نفس الشيء بالنسبة لياهو.ولشركة AOL.لا يوجد أي حافز لموفر OpenID للسماح باستخدام OpenIDs من مقدمي الخدمة الآخرين.

5. OpenID مفيد للمصادقة، ولكن ليس لـ تفويض، وخاصة بالنسبة لأي شيء حساس (بطاقات الائتمان، على سبيل المثال).

بالنسبة لي شخصيًا، أستخدم تسجيل دخول/كلمة مرور واحدة لكل موقع، وأستخدم KeePass (الذي يمكنني حمايته فعليًا وبطبقتين من كلمات المرور التي يجب اختراقها) للحفاظ على تجريد تسجيل الدخول الواحد في كل مكان.

يتضمن ذلك StackOverflow:لقد قمت بإنشاء OpenID خصيصا لكم يا شباب ولن أستخدمه أبدًا في أي مكان آخر.لقد فعلت هذا، وأنا تحمل مع ألم تسجيل الدخول لأن المحتوى مقنع.

ولكن إذا أ حقيقي auth تم توفيرها من قبل لـ StackOverflow، وكنت سأستخدمها بسرعة، فقط من أجل مكاسب سهولة الاستخدام.

Answer 7

ورض لا يزال غير آمن مثل كل المستندة إلى كلمة أخرى أسلوب المصادقة هناك. في الواقع، بل هو أسوأ من ذلك لأنه إذا قام شخص بالحصول على التعريف الخاص بك، لديهم أكثر من مجرد أن حساب واحد الآن. بالطبع هناك أيضا هجمات تصيد المعلومات، ولكن نحن جميعا الدهاء المبرمجين وقاعدة البيانات ومسؤولي النظام، وبالتالي فإننا لا تقع لمثل هذه الأمور، أليس كذلك؟

ويستند الأمن المصادقة على الثقة. كما أشار آخرون، لماذا تثق طرف ثالث لمعلومات قد تكون حساسة؟ بالتأكيد، يمكنك إعداد ملقم رض نفسك، ولكن كم من المتاعب هو أن مقابل الحفاظ على كلمات السر منفصلة على أنظمة متعددة؟ بالتأكيد، يمكنك إنشاء كلمات مرور آمنة أن تكون طويلة ومليئة الأحرف غير الأبجدية الرقمية، وحتى تخزين كل منهم في كلمة السر مدير (أفعل)، ولكن بعض المواقع معيبة في أن نموذج استعادة كلمة السر بسيط يمكن تعبئتها للحصول على الوصول إلى إعادة تعيين كلمة المرور.

وأنا ربما يميل إلى دعم وحتى التبشير رض إذا فعلت المصادقة خاصة آمنة تستند الرئيسية، وهو SSH لوس انجليس أو PGP. ربما هذا هو مسألة مزود تقديم مثل هذا الأسلوب - أنا لم ينظر فيه [بعد]

.

وأخيرا، في حين أننا جميعا الثقة رض يكفي لاستخدامه لمصادقة على تجاوز المكدس، يا ع رض هو "بخس"، وليس لها مثل أنا باستخدام هذا كأداة المهنية بناء سمعة (أي اسمي الحقيقي يسن 'ر تشارك ؛-)). أنا متأكد من أني لست الوحيد (كما باردة ورهيبة لأن هذا الموقع هو!).

Answer 8

ورض أمر جيد إذا كان كل مواقع استخدامها. ولكن على التسجيل للهوية OpenID فقط لاستخدام موقع واحد، انها الشيء الكثير. التسجيل للهوية OpenID ليس بالبساطة التي تسجل مباشرة في الموقع (من جهة نظر المستهلك).

Answer 9

وانه مضحك بالنسبة لي لقراءة هذا الموضوع، فإنه يعكس بالضبط تجربتي مع رض:

وStackOverflow.com كان بالنسبة لي سبب للحصول على هوية OpenID.
أدت العديد من عمليات البحث جوجل لي لهذا الموقع، وأنا لم يكن قادرا على ترك تعليق.
فكرت في تسجيل عدة مرات، ولكن لم أكن بسبب رض. ولم يكن واضحا بالنسبة لي ما كان عليه بالضبط.
ولكن في يوم من الأيام، وأنا اتخذت القرار لتسجيل واستغرق الأمر مني بعض الوقت، لكنني لست نادما لأنني استخدامها كل يوم. انه يعطيني شعورا أكثر أمنا على الرغم من أنني أدرك أنه ليست سوى حساب واحد من شأنه أن يؤدي إلى العديد من المشاكل إذا كان يحصل على تصيدها احتياليا ذلك.

وهكذا بالنسبة لي، ع رض هو وسيلة لطيف للدخول بسرعة على مواقع وأنا لا أعرف، ولكن أيضا على مواقع أكبر مثل StackOverflow.com
والمشكلة الرئيسية هي أن المستخدمين الجدد بحاجة إلى أن توغلت في عملية التسجيل ثم اكتشاف عظمت رض هو في الواقع.

Answer 10

لقد صادفت اليوم مقالًا يقدم حجة قوية جدًا لتخطي OpenID، من شخص كان متحمسًا لذلك في الأصل.

معرف مفتوح هو كابوس

لقد كنت دائمًا مؤيدًا رئيسيًا للمعرف المفتوح.أحب الفكرة والنية - إنه حل رائع لمشكلة طويلة الأمد ويحل الكثير من المشكلات للمطورين.لسوء الحظ ، يخلق طنًا أكثر لأصحاب الأعمال.

اقرأ الباقي هنا: http://www.wekeroad.com/2010/11/17/open-id-is-a-party-that-happened/

إنها ليست قصتي لذلك لا أحظى بأي فضل في ذلك.

Answer 11

وانه لامر جيد كإضافة للتسجيل العادي، ولكن ليس من السهل جدا للاستخدام إذا كان هذا هو السبيل الوحيد لتسجيل الدخول إلى موقع الويب الخاص بك. انظروا إلى التسجيل على ستاكوفيرفلوو - وردت جميع المواقع خصيصا لمساعدة الناس على فهم ما يدور حوله كل ذلك. وهذا الموقع هو لالمهوسون :)  لذلك الطرح هو التعقيد.

وانظر أيضا هذا الرابط

Answer 12

إذا كان لديك موقع الذي يتطلب مستوى عال من الأمن، وكنت لا تريد أن تترك التعامل مع وثائق التفويض دخولك إلى موفر الخارجي، حيث كان لديك أي سيطرة على الوصول. إذا كان يحصل اختراق مقدم هوية OpenID، كنت تاركا الأمان لهم.

Answer 13

ويمكن للجميع الاتصال الاشياء التي اقوم في موقع واحد على الاشياء التي اقوم على مواقع أخرى عند استخدام هوية OpenID، لأنها هي نفسها في كل مكان. ولذا فإنني لن تستخدم نفس ID I استخدام هنا للحصول على المواقع الاباحية، على سبيل المثال.

Answer 14

وهناك الكثير من الأسباب أن يكون حساب واحد مما يجعل الوصول إلى جميع. إذا كان هذا هو خطر تحصل في ورطة.

وإذا كنت تقوم بإعداد صفحة والذي يستخدم رض، ثم يجب أن نعرف الجميع يمكن إعداد خادم رض واحد (أيضا الاطر يمكن أن نفعل ذلك).

-

ولكن رض لديه أفكار جيدة وأود أن استخدامها!

Answer 15

وأنا مندهش أن أحدا التي استخدمت تجاوز المكدس لا يمكن التفكير في سبب لعدم استخدام معرف OpenId -؟! لأنه أمر مزعج كما الجحيم

وتيد Dziuba قام بعمل أفضل بكثير من <لأ href = "http://teddziuba.com/2008/09/openid-is-why-i-hate-the-inter.html" يختلط = "نوفولو noreferrer" > تمزيق إلى معرف OpenId مما كنت، حتى مجرد قراءة ما كتبه.

وسبب آخر وجيه - الفيسبوك ربط يبدو بالفعل أن تفعل بشكل جيد للغاية. ومع استمرار عضوية الفيسبوك على النمو، وانها سوف تجعل الفيسبوك ربط دعم هذا أكثر قيمة.

وعند نقطة ما أفترض الفيسبوك يمكن أن تجعل توصيل مزود معرف OpenId ... ولكن في الحقيقة، لماذا يريدون؟

Answer 16

ومن ما استطيع ان اقول، يبدو غير مطلوب مقدم هوية OpenID لنعطيه عنوان البريد الإلكتروني لصاحب الحساب، على الرغم من أن البعض الآخر.

إذا تتطلب الخدمة الخاص بك عنوان بريد إلكتروني للتواصل مع مستخدميها (على سبيل المثال، لإرسال رسالة إخبارية - التي كثير من الناس الذين لم يسمعوا قط RSS يفضلون)، ثم قد تضطر إلى التقاط رض والتحقق من البريد الإلكتروني العنوان.

وهناك نظام الذي يطلب من مجرد عنوان البريد الإلكتروني وكلمة المرور والتي توظف أن رسالة تفعيل البريد الإلكتروني يكون العمل أقل للمستخدمين.

Answer 17

وعدد من مزود حساب هوية OpenID لديك (جوجل، ياهو، تويتر، الخ ...) يساوي عدد الحسابات التي يمكن استخدامها تلقائيا للدخول إلى موقع رض بالطاقة. هذا هو بالتأكيد ليست ميزة ولكنه يمكن أن يكون عيب كبير.