是OpenID一个有缺陷的概念？

Question

我不要求有关具体实现方式，我不要求关于全球的世界观的交叉网站的单一登录的机制，我只是想知道什么是社会认为有关基础的可用性OpenID.你认为使用URL发出(以非技术观察员)随机的各种各样的提供商在地方的一个实际的用户名是什么，人们会喜欢吗？如果没有，没有任何人有一个更好的机制？如果有足够的兴趣，我会跟进的一个更一般的SSO的问题。

Answer 1

没有。

我不认为这是根本性的缺陷的系统。在条款的实用性，我会说它是有缺陷的，因为它是一种脱离常态，而且更难以获得用到，即URL，而不是一个用户名、有选择一个供应商。但我认为他们是唯一的问题，事情可以和正在做的改进(可用性调整上登录在网页，雅虎、谷歌提高认识的想法)。

除此之外，我认为这是一个伟大的系统：

• 我记得有一个帐号的密码组合(我不需要依靠的软件解决方案的许多ID->密码的问题)
• 我不需要填写一份表格，当我去到一个新的网站，并等待登记的电子邮件确认。
• 如果我不相信一个OpenID提供者，我可以成为我自己的供应商，比较容易，这是我个人认为是一个伟大的成就标准。做什么如此多才多艺，和(据我所知)方便是我真正的东西。
• 它分离的责任建立一个网站的密码存储和安全，当两个工作变得越来越困难。
• 我真的不知道很多关于这一点，但我认为这是非常容易使用的一个OpenID帐户主持的多重角色，可用于不同的网站，例如"这是我的工作的角色，这就是我本当我签约ilovemyjob.com.这是我的朋友的角色，我使用，facebook"和不同的角色具有不同的信息系到他们。就像我说的我不知道很多关于如何这样做，或者为什么它会有用的...但我会找出是什么它可能是好的。

这是关于主要的好处，我看到OpenID.在方面的缺点，有的可用性方面，这我承认是个问题。主要的另一点，人们用来批评OpenID是，如果在账户受到损害，那么许多登录受到损害。在我看来，这是没有比当前系统的具有的电子邮件绑账户，这可能是同样受到损害，而用于"忘记你的用户名？"功能上许多网站。我还想指出，OpenID不意味着解决这问题-这是一个解决多名/密码的问题。然而，有一个密码给出了一个更大的许可证，以保持更新它为增加安全而不必依赖软件记住了你，或是忘记所有的时间。

因此，OpenID有它的问题，但我要说这是一个很好的解决方案的多名/密码的问题。

参考文献：
有趣的谷歌对话的主题

Answer 2

是

首先，选择提供商很困难。如果我是一个经验不足的用户，我会问“为什么我需要与X共享我的信息以使用由Y运行的网站？”然后，一旦你克服了这一点，就必须选择信任谁。我个人与Verisign一起去了，因为我相信Verisign。但是有些人可能从未听说过这些提供商中的一些，也无法做出明智的决定。

其次，登录很困难。我不必输入用户名，而是输入一个URL（尽管StackOverflow可以让您更轻松地选择提供商和提供商用户名，并为您创建URL）。

第三，如果我的OpenID遭到入侵，那么我使用OpenID的网站上的所有帐户也会受到损害。有些人建议使用多个OpenID来克服这个问题，但我认为这会破坏OpenID的全部目的。

Answer 3

我无法理解对OpenID的焦虑。

我登录此网站的经历（无可否认是我必须处理的唯一开放ID）很简单。我看到了OpenID所需要的东西，而且我有一个模糊的理解，我登录该网站将被委托给我信任且已经拥有ID的其他人。很低，有一个链接到我当前的在线电子邮件提供商的提供商。点击，按照一个简单的过程，我甚至不记得这样做。

现在已经设置了开放的id连接，它并不比我处理的任何其他网站更难，而且神奇的是我没有必要将另一个帐户添加到一个网站我不知道我会再次使用，可能会忘记用户名或密码。

我喜欢它，概念和执行。

Answer 4

我以前说过，我可能会再说一遍，但URL的想法是一个根本上有缺陷的想法。他们应该使用电子邮件地址格式或者是username@service.com的Jabber格式。这将允许现有的电子邮件提供商提供ID而无需用户记住某些神秘的URL。

Answer 5

不，我不相信OpenID是一个有缺陷的概念。

如果你看看OpenID的历史，它最初是为了让人们通过他们在博客中拥有的URL来关联自己。这个想法得到了扩展，成为了今天的单点登录系统。

我想说OpenID非常适合那些没有用户帐户来保存基本信息的网站，这对于最终用户来说并不算是至关重要。因此，有助于评估漫画集的漫画书网站可能就是一个很好的例子。因为作为OpenID最终用户，您可以登录该站点（不创建另一个用户名/密码 - 可能与您创建的任何其他用户/密码不同，因为系统上的现有用户）并查看如何他们工作。如果您喜欢它，那么您可以继续正常使用该系统。或者，如果您不是完全迷恋该网站但决定稍后检查它们，那么您可能会感到沮丧，而不是试图记住您用于您认为可能无法返回的网站的用户名和密码组合。 OpenID完美地解决了这种情况。

话虽这么说，我个人不会使用OpenID登录我的银行账户，因为有很多关于重定向安全的说明。然而，其中很大一部分正在发生变化，通过属性交换推进OpenID的安全性取得了很大进展（特别是在日本）。

许多人不知道的另一个注意事项是你不需要使用URL来拥有OpenID，有一种名为 i-names 看起来更像是用户名，即我的i-name是“= true”，这可能比输入“ http://true.myopenid.com ”。个人i-name的费用为每年12美元，因此最初可能会成为某些人的障碍，但免费如果您想玩它们，则存在替代方案。

最后一点，OpenID正在宣传可发现性（如果这是一个词）。这是一个似乎坐在表面下方的概念。可发现性就像协议级别的社交网络，如果你可能:)。有该地区正在进行的大量工作，我认为这将导致更好的OpenID实现或至少OpenID的想法。希望能为我们所有人带来更好的互联网。

免责声明我是XRI TC委员会的成员，经营着一家专注于围绕XRI销售和提供服务的创业公司。

FreeXRI不是我参与的创业公司。

Answer 6

谷歌似乎也这么认为。他们最近进入OpenID领域，以及随后的协议分支，对此问题有两点要说：

1. OpenID非常有用，特别是当它与拥有大量用户的网站绑定时，可用于支持大量用户并且可能无法绘制它们的网站。当像谷歌这样的人或者在OID上工作的人已经覆盖了它时，为什么要在身份验证系统上重新发明呢？
2. OpenID现状很混乱，因为人们已经与许多参与的提供商拥有大量不同的用户名。然而，当GMail出现将自己的名字作为他们的电子邮件地址时，许多用户都有很好的机会，他们可以创建相当多的帐户。 Google似乎认为他们的帐户系统本身就足以满足所有Open ID用户的需求。我可能同意这一点。

Answer 7

在浏览器中嵌入这种东西不是更好吗？

例如，您可以在浏览器的首选项中输入您的个人数据。然后，网站可以通过JavaScript调用请求个人数据，浏览器会显示一个要求确认的对话框。当然，JavaScript API必须标准化。

这样，用户无需在任何地方注册，并且他的所有个人信息都存储在他自己的机器上。此外，确认消息将与您的操作系统的其他部分类似，而不仅仅是您可能不信任的某个网站。

Answer 8

我不认为这是一个有缺陷的概念。我认为这是新的，人们不习惯它。

但OpenID应在合作中与本地注册系统一起使用，以便用户可以选择。告诉用户去X.com注册然后回到你的网站 - 这只是愚蠢和混乱。但如果用户已经拥有GMail / AOL / YMail / etc帐户，那么让他们使用它非常方便。

我认为我们作为开发人员应该使用专门的登录表单。也就是说，而不是“输入您的OpenID网址”而不是它应该是标准的“输入您的用户名”他们可以选择Gmail / AOL / YMail / etc，在幕后我们构建URL。 URL作为登录名的想法有点落后，因此欢迎帮助过渡的人。

Answer 9

认为最好通过这些问题获得更具体而非一般性的信息。

对于你的问题，我不认为它有缺陷，但你是对的，它可能不会吸引一些人。然而，一旦民众得到它，如理解它，那么他们可能会更多地使用它。记住较少的密码肯定是更好的事情，因为最终会使密码变得比它们应该更弱。

Answer 10

您需要在这样的szenario中拥有唯一的UserID。另一种选择可能是有效的电子邮件地址，但最后是垃圾邮件。

因此我更喜欢基于URL的UserID。对我来说，使用OpenID（在我的情况下是myOpenId）的可用性很棒。

Answer 11

我认为，一些OpenID实现中留下了许多有待改进。

我想象Yahoo将得到它的权利，但他们的OpenID的微型网站(信息和执行)是垃圾在我的意见。布是混乱的，他们不清楚如何打开-id涉及一个用户标准的雅虎-帐户。

一旦我想通了其中的屏幕是需要启动我的日志在请求，雅虎发出一个OpenID签名，其中包括一项随机的字符串。这不是接受通过计算器.我必须创建一个新的别名，其中也曾作出默认选择。没有一个同样顽固的愿望，以工作了，我想了很多的用户才会放弃。

在我看来，严格执行准则需要产生的，并且该运动需要大量宣传，以教育潜在的用户。

可能的技术可能会在浏览器实施？

Answer 12

YES。

仍有多个登录。我必须去登录我的OpenID提供商，然后我必须访问该站点并使用OpenID URL再次登录。不想做更多的工作，OpenID还有很多工作要做。

我知道没有人不在使用OpenID的计算机领域。 OpenID仍然太复杂了。普通用户不需要被另一层抽象混淆。

还有跟踪OpenID用户去哪里的问题。我使用VeriSign，一个值得信赖的名字，但那些使用不太值得信赖的提供商的人呢。不，我不打算命名并开始一场火焰战。

有一个更好的答案，它被称为 RoboForm （或其中一个淘汰赛）。所有用户密码和名称都保存在他们的计算机上并加密。它易于使用，更安全，更快。

Answer 13

我认为OpenID的某些方面会给许多用户带来可用性问题，但可能会通过UI改进来解决。例如，对于大多数用户来说，网址几乎无法使用。但是没有理由不能抽象，因此用户只需选择他们的提供者并输入他们在该提供者处使用的用户名。此外，必须到一个单独的位置登录是一个巨大的可用性问题，并正确地向用户发出关于他们向谁提供的数据的危险信号。这将更难解决。

Answer 14

如果个人被盗或丢失，这最终是否会损害他人的身份？这是我的主要关注点。匿名既有优点也有缺点。我相信两者兼而有之。我有一些亲密的朋友，他们害怕加入Facebook社区它是如此开放的事实，如果数据库受到攻击，它就会成为一个容易攻击的目标。

Answer 15

我不希望其他系统拥有我的应用程序的ID。

我为用户提供了更简单的概念，更加统一。

但是，UserID对于网站访问者的体验至关重要，您不希望将所有鸡蛋放入一个篮子（Microsoft Passport，OpenID等）。如果情况发生变化，您就搞乱了所有用户帐户。

Answer 16

这个概念很好，但设计允许安全漏洞......