Welchen Vorteil hat es, NUR die OpenID-Authentifizierung auf einer Website zu verwenden?

Question

Aus meiner Erfahrung mit OpenID, Ich sehe eine Reihe erheblicher Nachteile:

Fügt eine hinzu Der Punkt des Versagens zum Ort
Es handelt sich nicht um einen Fehler, der von der Website behoben werden kann, selbst wenn er erkannt wird.Welche Möglichkeiten hat die Website, wenn der OpenID-Anbieter drei Tage lang nicht verfügbar ist, damit sich ihre Benutzer anmelden und auf die ihnen gehörenden Informationen zugreifen können?

Leitet einen Benutzer zu den Inhalten einer anderen Website und jedes Mal, wenn er sich auf Ihrer Website anmeldet
Auch wenn beim OpenID-Anbieter kein Fehler vorliegt, wird der Benutzer zur Anmeldung auf seine Website weitergeleitet.Die Anmeldeseite enthält Inhalte und Links.Es besteht also die Möglichkeit, dass ein Benutzer tatsächlich von der Website abgelenkt wird und sich in den Kaninchenbau des Internets begibt.

Warum sollte ich meine Benutzer auf die Website eines anderen Unternehmens weiterleiten wollen?
[ Notiz:Mein Provider macht das nicht mehr und scheint dieses Problem (vorerst) behoben zu haben.]

Fügt der Anmeldung eine nicht unerhebliche Zeitspanne hinzu
Um sich auf der Website anzumelden, muss ein neuer Benutzer einen neuen Standard lesen, einen Anbieter auswählen und sich anmelden.Standards sind etwas, dem die Techniker zustimmen sollten, um ein reibungsloses Benutzererlebnis zu gewährleisten.Sie sollten den Benutzern nicht aufgedrängt werden.

Es ist der Traum eines Phishers
OpenID ist unglaublich unsicher und es ist kinderleicht, die ID der Person beim Anmelden zu stehlen.[ entnommen aus David Arnos Antwort unten ]

---

Bei allen Nachteilen besteht der einzige Vorteil darin, dass Benutzer weniger Anmeldungen im Internet vornehmen müssen.Wenn eine Site OpenID aktiviert hat, können Benutzer, die diese Funktion wünschen, sie nutzen.

Was ich gerne verstehen würde, ist:
Welchen Nutzen hat eine Website durch die Erstellung von OpenID? obligatorisch?

Answer 1

Die Liste der Nachteile verfehlt das offensichtlichste: es ein Traum für Phisher ist. OpenID ist unglaublich unsicher und ID der Person zu stehlen, wie sie sich anmelden ist trivial einfach.

Matt Sheppard trifft den Nagel auf den Kopf in Bezug auf die Antwort aber: der Nutzen nur OpenID ist, dass es weniger Aufwand für die Site Creator beinhaltet, da es keine Benutzernamen und Passwörter zu handhaben sind und keine Benutzerkontoerstellung Code erforderlich.

Answer 2

Der Vorteil, dass OpenID obligatorisch ist einfach, dass Login-Code für die Website nicht (über die OpenID-Integration) geschrieben werden muss, und keine Vorsichtsmaßnahmen ergriffen werden müssen, um etc Benutzer-Passwörter zu speichern.

Nicht mit Ihrem eigenen Login-Code bedeutet auch nicht mit viel Unterstützung Fragen zu beschäftigen wie etc verlorener Passwörter zurückzusetzen.

Sicherlich die meisten Ihrer Nachteile sind gültig, so dass ich denke, es ist aus einem Handel wird.

Was mich wundert ist, dass es nicht mehr Seiten eine enge Beziehung zu einem bestimmten OpenID-Provider bilden einfach das Konto Anmeldephase - also eine Art ‚Sie können eine beliebige OpenID verwenden, die Sie mögen, aber Sie können auch erstellen jetzt durch einen Benutzernamen und ein Passwort etc‘Login-Seite eingegeben haben, wird automatisch ein neues Konto mit dem ausgewählten Anbieter für Sie erstellt.

Answer 3

Es ist ein guter Weg, um einen Teil Ihrer Infrastruktur auszulagern. Sie müssen nicht usw. über verlorene Passwörter Sorge, jemand anderes tut es für Sie.

Ich bin mir nicht sicher, ob ich es ausschließlich verwenden würde, though. Ich habe nicht verwendet OpenID genug völlig, ihm zu vertrauen, und der Anmeldevorgang muss rationalisiert werden, bis> 90% der Nutzer eine OpenID haben.

Answer 4

  

Fügt einen kritischen Punkt zum Scheitern auf der Website

Die dritthöchste Idee auf Uservoice für Stackoverflow die OpenID zu ermöglichen, ist Veränderung Anbieter. Und in den Kommentaren gibt es den Vorschlag, mehr zu erlauben, Assoziieren als auf OpenID. Auf Websites, auf denen mehrere OpenID kann mit einem Konto bei Ihrem üblichen OpenID-Provider ist unten Sie noch mit einem anderen Provider einbuchen in Verbindung gebracht werden können (vorausgesetzt, Sie haben es schon mit der Website verbunden sind).

Außerdem ist es nur ein kritischer Punkt des Scheiterns für die Nutzer der OpenID-Provider, die nicht funktionieren. Alle anderen Benutzer auf anderen OpenID-Provider können auch weiterhin protokollieren. Im Laufe der Zeit würde man erwarten, dass die Nutzer zu den zuverlässigsten Anbietern abwandern würden.

  

Nimmt einen Nutzer auf einem anderen Website Inhalte und jedes Mal, wenn sie auf Ihrer Website anmelden

Wenn Sie Ihren OpenID-Provider eingerichtet haben immer eine Website zu vertrauen (oder OpenID Verbraucher in der Nomenklatur), und Sie sind bereits in Ihrem OpenID-Provider angemeldet dann werden sie Sie umleiten auf die Website direkt zurück, ohne dass Sie Ihre OpenID zu sehen Anbieter-Website.

  

Fügt eine nicht-Studie Menge an Zeit, um die Registrierung

das kann Zeit wahr sein, aber wie andyuk sagte: „Dies wird weniger ein Problem, desto mehr Websites, die OpenID unterstützen“. Ich würde erwarten, dass in wenigen Jahren die meisten Benutzer bereits eine OpenID haben und wissen, was es ist.

Answer 5

Einer der großen Vorteile des Gehens OpenID-nur aus technischer Sicht ist, dass die Anmeldeinformationen-Authentifizierung Stück abstrahieren können Benutzer-Authentifizierungsmethoden auswählen, die als viel anspruchsvoller sind, was Sie stören würde für Ihre Website zu bauen. Ja, einige OpenID-Provider leicht fischt. Auf der anderen Seite, andere OpenID Benutzer melden Sie sich mit Information Cards, Hardware-Token oder Telefon Verifikation, und diese sind Berechtigungsnachweise, die nicht erfasst und von einem Phisher wiedergegeben werden.

Als Gabe Wachob setzt es :

Menschen, die in Authentifizierungsmethoden zur Innovation wollen [...] müssen nicht die gleichen Leute, die in Dienstleistungen anbieten, die im Internet (einer von einer Million Leute laufen Mediawiki, Drupal, etc.) innovativ zu sein. Die „Entkoppelung“ der Authentifizierung Innovation und Service-Innovation ist das, was in OpenID wertvoll ist.

So von OpenID verwenden, können Sie Ihre Benutzer stärkere Authentifizierungsmethoden bieten. Die Abstraktion können Sie eine Schnittstelle implementieren, und dann können Sie einen beliebigen Anbieter wählen, mit zu arbeiten, ob sie achtstellige Passwörter unverschlüsselt oder Challenge-Response-neurale Implantate verwendet werden.

Answer 6

Es ermutigt Anwender dazu zu OpenID anmelden-up, mehr darüber erfahren und hoffentlich es selbst zu evangelisieren.

Stack-Überlauf erweist sich als nur unterstützt OpenID arbeiten können.

  

"Fügt kritischen Punkt zum Scheitern zu der Website"

Im Falle eines OpenID-Provider arbeiten andernfalls sollte die Website einen Mechanismus müssen Benutzer anmelden zu können und Add / Änderung OpenID-Provider. Vielleicht ist die Website eine temporäre Verbindung zu Bypass-Sicherheit E-Mail könnte so dass die Nutzer ihr Konto zugreifen können.

  

„Nimmt ein Nutzer auf einen anderen Websites, Inhalte und jedes Mal, wenn sie auf Ihre Website anmelden“

Mein OpenID-Provider ermöglicht es mir, ein Vertrauen eine bestimmte Website, so brauche ich nicht einmal ihre Website zu sehen.

  

"Fügt eine nicht-Studie Menge an Zeit, um die Anmeldungen"

Dies wird weniger ein Problem, desto mehr Websites, die OpenID unterstützen.

Answer 7

Als Web-Entwickler, ich bin ein großer Fan von der Idee der OpenID. Auth-Code zu schreiben, ist ein Schmerz in den Arsch. Als Web-Benutzer, ich ist ein großer Fan von OpenID - für unkritische Anwendungen wie SO, Foren, usw. - denn wenn man die ID hat, ist es eine sehr einfache Möglichkeit, eine Website zu verbinden

.

Ich denke, außerhalb von wenigen Ausnahmen abgesehen - wie eine Community für Entwickler - zu diesem Zeitpunkt nicht OpenID zwingen kann nur. Der „durchschnittliche“ Web-Benutzer (was immer das bedeutet) wird es nicht. Es ist jedoch in einer Seite wie diese Förderung schärft das Bewusstsein unter den Entwicklern, und die Idee wird schließlich rieseln. Wie OpenID auf mehr und mehr Seiten erscheint, werden die Menschen um es so aussehen in, erkennen, dass sie eine haben, und dann starten Sie es. Damit OpenID - das ist eine gute Idee ist - zu fangen, braucht es eine kritische Masse an Nutzern und Standorte es unterstützt zu sein.

Schließlich wird es nur sein, „wie es ist“, und wir werden sich fragen, warum wir überhaupt für jede einzelne Website erstellt Authentifizierungscode wir gemacht haben, oder warum wir eine einzigartige Identität überall schaffen wir auf der Web gingen

Answer 8

Wie in einem der Podcasts diskutiert, fügt es eine Barriere für den Wanderer auf Eintritt geschieht durch mich gefragt, ob dies sein könnte, wo sie ihre Yahoo! veröffentlichen sollten Antworten Frage.

Es ist etwas elitär, aber der Fokus dieser Website insbesondere gegebenes es ziemlich akzeptabel ist jedes abwenden, die nicht den Open ID Prozess herausfinden können, und jeden, der wirklich eine echte Frage hat sie beantwortet braucht belästigt werden kann Arbeit durch jede noch so kleine Not.

Answer 9

Aus meiner Erfahrung mit OpenID, ich sehe eine Reihe von bedeutenden upsides:

Wenn Sie mit Ihren vertrauten OpenID-Provider anmelden, zum Beispiel. Verisign PIP + VIP können Sie den Nutzen aus Band SecureID-Authentifizierungsmechanismen genießen. Dies sollte die schwerer wiegt als alle anderen als den großen Vorteil zu sehen. Sie sind nicht mehr vertrauen, was auch immer beschissen formularbasierte Authentifizierung auf der Website, die Sie zugreifen können, Verisign VIP vertrauen oder was auch immer Ihre Wahl der OpenID-Provider kann.

Internet Kaninchenbau? Klingt wie schlechte Umsetzung und ich für eine nicht wissen, was Sie sich beziehen.

Sie keine Authentifizierung Detail leicht stehlen können, kann es näher unmöglich gemacht werden als das, was wir bereits haben! Sie können in der Lage sein, mich zu betrug zu denken, ich meinen Provider wandte mich an, aber Verisign für eine hat eine Option, um nicht zulassen, oder Umleitungen akzeptieren. Ich sehe diese Phishing-Probleme als etwas trivial auch, vor allem wieder, wenn Sie es gegen die Vorteile von Außerbandauthentifizierungsmechanismen wiegen, die Sie durch Ihre OpenID-Authentifizierungsanbieter gewinnen. So sagen Sie RSA-Schlüssel Detail einmal fischen, wäre es nicht gültig, das nächste Mal, oder vielleicht auch nur völlig nutzlos, wenn Sie verwenden ein Browser-Zertifikat sagen waren.

Abschließend OpenID ist nur die Entwicklung des derzeitigen Systems, eine E-Mail-Adresse überprüfen gegen. Wenn Ihr E-Mail-Konto, um Ihr aktuelles Single Point of Failure ist dann ja, Ihre OpenID könnten Ihre neues Single Point of Failure in dem Fall, wo die OpenID Sie ist die Kontrolle nicht mehr unter Kontrolle. Also, wenn Sie Ihre E-Mail-Server vertrauen dann einfach Ihre eigene OpenID-URL hosten. Wenn Sie Google Mail vertrauen, eine gmail-URL für Ihre OpenID verwenden, weil aus dem gleichen Grunde, Sie bereits Google Mail als SSO als Ihr Google Mail-Konto vertrauen kann letztlich Ihre Account-Passwörter abgerufen werden.

Es ist ein Klacks, aber ich kann sehen, dass manche Menschen Schwierigkeiten haben, können die grundlegenden Konzepte der Authentifizierungsmechanismen zu verstehen. Wenn ich mit meiner SecureID-Karte (über meine OpenID-Provider) zu einer Website anmelden kann, die ich ein Konto auf, und ich habe. Also, wenn es die einzige Möglichkeit ist, ich werde es nehmen!

Answer 10

Fügt kritischen Punkt zum Scheitern auf die Website

Die kritische Punkt des Scheiterns könnte die Bestätigung per E-Mail Sie senden, aber die Mailbox des Benutzers ist a) nicht verfügbar aufgrund eines Tippfehler, b) vollständig oder c) Anbieter ist ‚down‘.

Nimmt einen Nutzer auf einem anderen Website Inhalte und jedes Mal, wenn sie auf Ihrer Website anmelden

kann ich sehen, dass, aber IMHO - das ist nicht so schlimm. Ich meine, Y! scheint eine der überladenen Logins zu sein und es für mich auch nie funktioniert. ;.) Abgesehen von den meisten OpenID-Provider sehen nicht so schlecht (noch)

Auch halten Sie Ihr Publikum im Auge behalten. Wenn Mama und Pop-Benutzer sind, OpenID ist wahrscheinlich verwirrend wie die Hölle. Aber so ist wahrscheinlich viel im Internet. In SO Fall sind die Leute etwas versierte Anwender und wissen, was sie wollen.

Fügt eine nicht-Studie Menge an Zeit, um die Registrierung

Das ist kein Thema. Schauen Sie sich die Liste der Anbieter: http://openid.net/get/

So viele Menschen haben mindestens ein Yahoo! Konto, also wenn es tatsächlich funktioniert. Es wäre nicht so schlimm sein. Ich stimme aber, dass, wenn ein Benutzer nicht OpenID hat, und nicht weiß, was es ist für. Es ist nicht so einfach, sie zu erziehen.

Und denken Sie an die Implikation - „für Standort A registrieren, müssen Sie an der Stelle B registrieren“. Und wir alle wissen, dass die Registrierung per se ein Schmerz im Arsch ist. Aber auf lange Sicht, ist dies auch genau das, was OpenID versucht zu lösen.

Im Mainstream, ich sehe derzeit keinen Wert für die Herstellung von OpenID obligatorisch. Ich mag es als Add-on though. Wie Menschen Links bieten, „mit Ihrem Facebook anmelden“, etc .. Dann werden die Menschen, die nicht bekommen (oder do not care) brauchen nicht zu stören. Aber andere können es immer noch verwendet werden.

Answer 11

OpenID kann die größte Sache seit geschnittenem Brot sein, aber ich habe keinen Grund zu vertrauen „sie“ mit meiner Identität gegeben wurde - anders als Jeff Atwood / Joel Spolsky ließ mich es tun, um hier zu sein darüber zu beschweren; - )

Answer 12

Eine Sache, auch zu erwähnen. Sie haben bereits ein Benutzerzahl mit OpenID, sie müssen nur anmelden.

Answer 13

Ich bin für OpenID, vor allem aus einer Benutzerfreundlichkeit Perspektive. Ich bleibe davon überzeugt sein, um es Sicherheit, aber es hat eine Menge Potenzial hat. Es gibt viele Dinge, die auf diese gesagt werden könnten, aber ich nur auf die folgenden zwei Punkte antworten will:

  

Fügt eine nicht-triviale Menge an Zeit   die Anmeldung

Nur das erste Mal, es ist Setup. Auch mit Unternehmen wie Yahoo Unterstützung jetzt, werden viele Menschen haben nicht einmal die Mühe, eine OpenID einrichten, wenn sie nicht wollen. Wenn Sie Google oder jemand ähnlich wie Ihre OpenID-Provider verwendet, würde man sich als von Natur aus unsicher sehen? Und wie oft würden Sie erwarten, dass sie Ausfallzeiten haben?

  

Es ist ein Phisher Traum

Ich akzeptiere, dass dies teilweise wahr sein. Aber ist Phishing nicht mehr ein soziales Problem als ein technologisches? OpenID könnte es einfacher machen, aber das beseitigt nicht die Tatsache, dass das eigentliche Problem der Benutzer. Es ist viel wichtiger, Nutzer bewusst zu machen, wie Phisher arbeiten, als zu versuchen, sie durch Technologie zu sicher zu schützen.

Answer 14

Mindestens OpenID schickt Sie zu Ihrem OpenID-Provider anmelden.
Ich habe einen Blog auf Blogspot zu lesen und es gibt einen Link mit diesem Blog zu folgen (vermutlich mir sagen, wenn es newposts ist), dies zu tun erscheint es eine Box fragt nach meinen Google Mail-Benutzername und Passwort auf.

Selbst wenn man annimmt, dass diese echt ist und nicht eine Phishing-Seite - sie jetzt (potentailly) hat die Login zu meiner Google Mail, meinen Google-Dokumenten, meine Google-Anwendungen - alles

Answer 15

Der Hauptvorteil einer OpenID wird sich langfristig zeigen.Anstatt bei verschiedenen Websites eine Identität beantragen zu müssen, müssen Sie dies nur einmal tun und sie dann auf allen Websites verwenden, die eine eindeutige Identität erfordern.Für sichere Websites wie Banking und Trading ist natürlich eine völlig andere Denkweise erforderlich.Aber für soziale Netzwerke und ähnliches können Sie es problemlos verwenden.

Auch Mama und Papa werden es einfacher finden, denn jetzt müssen sie sich nur noch einen Benutzernamen/ein Passwort merken.Oft fällt es uns schwer, uns zu merken, welches Login wir auf welcher Site haben, und am Ende verwenden wir auf Site B den korrekten Benutzernamen/das richtige Passwort von Site A.OpenID wird das lösen.Außerdem ist es ein gutes Einnahmemodell für einen OpenID-Anbieter und -Benutzer.Bei einem solchen Anbieter kann ich alle Angaben machen, die ich zu geben bereit bin, und mit jeder dieser Angaben kann ich Geld verdienen.

Vielleicht kann mich der Anbieter dazu überreden, mehr über mich selbst zu erzählen und das als Anreiz zu nutzen, was er dann an die Websites verkaufen kann, bei denen ich mich registriere.Site A zahlt also OpenID für meine Informationen.OpenID gibt dann einen Teil davon an mich weiter.Site A muss keine Benutzer verwalten, OpenID bekommt Geld, Benutzer bekommen Geld, alle sind glücklich :)

Auf diese Weise müssen Sie OpenID nicht obligatorisch machen.Die Menschen selbst werden es wollen.OpenID-Anbieter konkurrieren dann untereinander um die Bereitstellung besserer Dienste, und wo Wettbewerb herrscht, wird für alle Beteiligten ein höherer Nutzen erzielt.Ich denke, es ist eine großartige Idee.

Bearbeiten: In Bezug auf Ausfallzeiten bei einem bestimmten Anbieter;Wenn OpenID-Anbieter A nicht sicher ist, eine 100-prozentige Betriebszeit bereitzustellen, kann er die Hilfe eines anderen Anbieters B in Anspruch nehmen, und der Benutzer von Anbieter A kann aus den von Anbieter A angebotenen Optionen wählen.Die Site, die sich zur Authentifizierung eines Benutzers an Anbieter A wendet, weiß, an welche anderen Anbieter sie sich wenden muss, falls Anbieter A nicht funktioniert.Dies wird bei der ersten Anmeldung automatisch in der Datenbank gespeichert.Möchte jemand über die Implementierungsdetails nachdenken?:) :)