Ist die OpenID ein fehlerhaftes Konzept?

Question

Ich verlange nicht, über spezifische Implementierungen, ich verlange nicht, über die Globale Sicht auf die Welt von cross-site single sign-on Mechanismen, ich möchte nur wissen, was die community denkt über die zugrunde liegenden Verwendbarkeit von OpenID.Denken Sie über eine URL, die von einem (für den nicht-technischen Beobachter) zufällige Auswahl von Anbietern, anstelle eines tatsächlichen Benutzer name ist etwas, das die Leute am Liebsten?Wenn nicht, hat jemand einen besseren Mechanismus?Wenn es genug Interesse ist, werde ich follow-up mit einer allgemeineren SSO Frage.

Answer 1

NO.

Ich glaube nicht, es grundlegend fehlerhaft System ist. In Bezug auf Benutzerfreundlichkeit würde ich sagen, dass es fehlerhaft ist, da es eine Abweichung von der Norm ist, und schwerer zu gewöhnen, das heißt URL anstelle einem Benutzername, mit einem Anbieter wählen. Aber ich denke, sie sind die einzigen Probleme, und die Dinge können sein und getan werden, dass sie verbessern (Usability Optimierungen auf Login-Seiten, Yahoo und Google das Bewusstsein für die Idee).

Abgesehen davon, dass ich denke, es ist ein großartiges System:

• Ich erinnere mich an einem Konto-ID-Passwort-Kombination (Ich brauche nicht auf das vielen ID-> Passwort Problem auf Softwarelösungen angewiesen)
• Ich brauche nicht ein Formular ausfüllen, wenn ich auf eine neue Website zu gehen, und warten Sie für die Registrierung von E-Mail zur Bestätigung.
• Wenn ich eine OpenID-Provider nicht vertrauen, ich kann meine eigenen Provider, relativ leicht geworden, die ich persönlich denke, für einen Standard ein großer Erfolg ist. Machen etwas so vielseitig und (AFAIK) ist einfach zu mir, wirklich etwas.
• Sie entkoppelt die Verantwortung, eine Website von Passwortspeicherung und Sicherheit des Gebäudes, wenn beide Arbeitsplätze immer schwieriger.
• Ich weiß nicht wirklich viel über diesen nächsten Punkt, aber ich denke, dass es sehr einfach ist, ein OpenID-Konto zu verwenden, um mehrere Personas zu hosten, die für verschiedene Websites verwendet werden können, z.B. „Das ist meine Arbeit persona, das ist, was ich vor, wenn ich für ilovemyjob.com anmelden. Und das ist mein Freund persona, verwende ich für Facebook, dass“ und die unterschiedlichen Persönlichkeiten haben unterschiedliche Informationen an sie gebunden. Wie ich sage, ich weiß nicht viel darüber, wie dies geschehen ist, oder genau, warum wäre es nützlich, ... aber ich werde herausfinden, was es für gut sein könnte.

Das ist über die wichtigsten Vorteile, die ich mit OpenID sehen. Im Hinblick auf die Nachteile, es ist die Verwendbarkeit Aspekt, den ich ein Problem zugeben. Der Haupt andere Punkt, dass die Menschen OpenID zu kritisieren verwenden, ist, dass, wenn das Konto gefährdet ist, dann viele Anmeldungen beeinträchtigt werden. Meiner Meinung nach ist dies nicht schlechter als das derzeitige System der E-Mails gebunden Konten mit, die in ähnlicher Weise beeinträchtigt werden könnte, und dafür verwendet „Benutzername vergessen?“ Funktion auf vielen Websites. Ich mag auch darauf hinweisen, dass OpenID ist nicht das Problem zu lösen, bedeutet - es ist eine Lösung für das mehr ID / Passwort Problem. Jedoch gibt eine größere Lizenz ein Passwort mit halten es für zusätzliche Sicherheit zu aktualisieren -. Ohne auf Software angewiesen zu erinnern, es für Sie, oder die ganze Zeit zu vergessen

So, OpenID hat es Probleme, aber ich würde sagen, es ist eine gute Lösung für das mehr ID / Passwort Problem.

Referenzen:
Interessante Google Talk zum Thema

Answer 2

Ja.

Als erstes der Auswahl eines Anbieters ist schwierig. Wenn ich eine weniger erfahrene Benutzer war, würde ich fragen: „Warum muss ich meine Daten mit X teilen eine Website betrieben von Y zu benutzen?“ Und dann, wenn Sie über das zu bekommen, müssen Sie sich entscheiden, die mit Ihren Informationen zu vertrauen. Ich persönlich ging mit Verisign, weil ich Verisign vertrauen. Aber manche Leute vielleicht nie von einigen dieser Anbieter gehört und würde nicht in der Lage sein, eine informierte Entscheidung zu treffen.

Zweitens in der Anmeldung ist schwierig. Anstatt einen Benutzernamen eingeben, ich habe eine URL einzugeben (obwohl Stackoverflow macht es einfacher, wenn Sie einen Anbieter wählen und Ihren Provider Benutzernamen und es macht die URL für Sie).

Drittens, wenn mein OpenID gefährdet ist, dann alle Konten auf Websites, die ich OpenID verwende auf ebenfalls beeinträchtigt. Manche Menschen legen nahe, mehrere OpenIDs, um dies zu überwinden, aber ich denke, dass Niederlagen der ganze Zweck von OpenID.

Answer 3

Ich kann nicht die Angst vor OpenID zu verstehen.

Meine Erfahrung mit signin in diese Stelle (zugegebenermaßen die einzige offene ID ich habe zu tun hat) war einfach. Ich sah die OpenID erforderlich Sache und ich hatte eine vage Verständnis der meine Unterzeichnung in die Website würde jemand anderem übertragen werden, die ich vertraute und hatte bereits eine ID mit. Low eine siehe, war es eine Verbindung zum Provider meiner aktuellen Online-E-Mail-Anbieter. Klicken Sie folgen einem Prozess, der einfach genug war, dass ich nicht einmal daran erinnern, es zu tun.

Nun, da die offene id Verbindung aufgebaut wird, ist es nicht schwieriger als jede andere Seite, die wir behandeln und die Magie ist, dass ich nicht hinzufügen habe noch ein anderes Konto zu einer Website, ich hatte keine Ahnung, dass ich jemals wieder verwenden würde und würde wahrscheinlich den Benutzernamen oder Ihr Passwort vergessen für.

Ich mag es, das Konzept und die Ausführung.

Answer 4

Ich habe es schon gesagt, und ich werde es wahrscheinlich wieder sagen, aber die URL Idee ist eine grundlegend fehlerhaft Idee. Sie sollte mit dem E-Mail-Adressformat oder das Jabber-Format von username@service.com gegangen. Dies würde es ermöglichen bestehende E-Mail-Provider eine ID zu bieten, ohne dass der Benutzer etwas obskure URL zu erinnern.

Answer 5

Nein, ich glaube nicht, dass OpenID ein fehlerhaftes Konzept ist.

Wenn Sie sich die Geschichte von OpenID war es ursprünglich gemeint Menschen zu ermöglichen, korrelieren sie selbst über eine URL über Blogs gehört. Diese Idee wurde erweitert auf und wurde das Single-Sign-On-System es heute ist.

Ich würde sagen, dass OpenID für Websites perfekt ist, die grundlegenden Informationen nicht Benutzerkonten zu halten, die nicht berücksichtigt wird vital für den Endverbraucher. So kann eine Comic-Website, die mit Bewertungen Ihrer Comic-Sammlung hilft vielleicht ein gutes Beispiel sein. Denn als OpenID Endbenutzer können Sie auf der Seite einloggen (ohne die Schaffung eine andere Benutzername / Passwort --which als jeder andere verschieden sein können Sie wegen der vorhandenen Benutzer auf dem System erstellt) und überprüfen, wie Sie arbeiten. Wenn es Ihnen gefällt, dann können Sie auch weiterhin das System wie gewohnt verwenden. Oder, wenn Sie nicht total verliebt mit der Website aber entscheiden, sie später zu überprüfen, dann, anstatt zu versuchen, die Benutzernamen und Passwort Kombination ist für eine Website verwendet zu erinnern, dass Sie dachten, Sie könnten sonst nicht zurückkehren könnte frustrierend sein. OpenID-Adressen, diese Art von Situation perfekt.

Dass gesagt wird, würde ich nicht persönlich OpenID verwenden, um in meinem Konto anmelden, weil viele Dinge, die über die Sicherheit der Umleitungen festgestellt worden ist. Doch viel davon verändert sich und es gibt große Fortschritte bei der Sicherheit von OpenID durch Attributaustausch in vorrückenden ( vor allem in Japan ).

Ein weiterer Hinweis, dass viele Leute nicht wissen, ist, dass Sie eine URL nicht verwenden müssen, um OpenID zu haben, gibt es eine Technologie namens i-Name , dass mehr wie ein Benutzername aussieht, dh meinen i-name "= true" ist, so viel einfacher sein kann, in so etwas wie " http://true.myopenid.com ". Es gibt einen Preis von $ 12 pro Jahr für einzelnen i-Namen, so dass zunächst eine Barriere für manche Menschen sein kann, aber kostenlos Alternativer wenn Sie existieren würden gerne mit ihnen spielen, um.

Auf einer letzten Notiz OpenID die Idee der Auffindbarkeit ist die Förderung der (wenn das ein Wort). Es ist ein Konzept, das knapp unter der Oberfläche sitzen schien. Auffindbarkeit ist wie Social-Networking auf der Protokollebene, wenn Sie :) könnte. Es gibt Tonnen Arbeit geht in diesem Bereich , was ich denke, wird zu einem besseren Implementierungen von OpenID führen oder zumindest die Idee von OpenID. Was für uns hoffentlich alle zu einem besseren Internet führt.

Disclaimer ich auf dem XRI TC Komitee bin und ein Startup konzentriert sich auf den Verkauf und die Erbringung von Dienstleistungen rund um XRI laufen.

FreeXRI ist nicht der Start ich mit beteiligt bin.

Answer 6

Google scheint so zu denken. Ihr jüngste Eintritt in den OpenID Raum, und unmittelbar anschließende Gabel des Protokolls haben zwei Dinge über das Thema zu sagen:

1. OpenID ist nützlich, vor allem, wenn es um Websites mit einer sehr großen Anzahl von Benutzern für die Verwendung mit Websites verbunden ist, die eine große Anzahl von Benutzern unterstützen können und werden sie wahrscheinlich nicht ziehen. Warum das Rad auf einem Authentifizierungssystem neu erfinden, wenn jemand wie Google oder die auf OID arbeiten sie bereits zurückgelegt hat?
2. OpenID, wie es steht ist etwas chaotisch, da die Menschen haben bereits eine große Anzahl von mit vielen unterschiedlichen Benutzernamen der beteiligten Anbieter. viele Nutzer hatten jedoch eine große Chance, wenn GMail kam um ihren eigenen Namen als ihre E-Mail-Adresse zu erhalten, und hat eine ziemlich unendliche Anzahl von Konten sie erstellen können. Google scheint zu glauben, dass ihr Konto System von selbst für alle Open ID Benutzer ausreichend ist. Ich würde wahrscheinlich mit diesem einverstanden.

Answer 7

Wäre es nicht besser, diese Art der Sache in den Browser integriert hat?

Zum Beispiel, können Sie Ihre persönlichen Daten in Ihrem Browser-Einstellungen eingeben. Dann kann eine Website persönliche Daten mit einem JavaScript-Aufruf anfordern, und der Browser zeigt Ihnen einen Dialog zur Bestätigung aufgefordert. Natürlich wäre der JavaScript-API standardisiert werden muß.

Auf diese Weise der Benutzer nicht irgendwo anzumelden hat, und alle seine persönlichen Daten auf seinem eigenen Gerät gespeichert ist. Plus die Bestätigungsmeldungen wie der Rest des Betriebssystems aussehen würde, nicht nur einige Web-Seite gefällt, die Sie vielleicht nicht trauen.

Answer 8

Ich glaube nicht, dass ein fehlerhaftes Konzept ist. Ich denke nur, es ist neu, und die Menschen verwendet werden, nicht zu.

Aber OpenID sollte in Verbindung mit einem lokalen Registrierungssystem , damit der Benutzer die Wahl hat verwendet werden. erklärt den Benutzer, auf X.com gehen zu Ihrer Website zu registrieren und dann kommen Sie wieder nach - das einfach nur dumm und verwirrend ist. Aber wenn der Benutzer bereits ein GMail / AOL / YMail / etc Konto dann läßt sie es verwenden, ist sehr, sehr praktisch.

Ich denke, uns als Entwickler spezielle Login-Formulare, obwohl verwenden sollte. Das heißt, statt „Geben Sie Ihre OpenID-URL“ sollte es ein Standard sein „Ihren Benutzernamen eingeben“ und sie können Gmail / AOL / YMail / etc wählen und hinter den Kulissen wir die URL konstruieren. Die Idee einer URL ein Login-Namen zu sein, ist ein wenig nach hinten, so dass die Leute mit dem Übergang zu helfen, ist willkommen.

Answer 9

Denken Sie, es ist besser spezifischere eher mit dieser Art von Fragen auf, als allgemein zu erhalten.

Um Ihre Frage, ich glaube nicht, dass es fehlerhaft ist, aber Sie haben Recht, dass es nicht auf einige ansprechen kann. Sobald jedoch Folk es bekommen, wie in es verstehen, dann können sie kommen, um es zu nutzen. Es ist sicherlich eine bessere Sache zu haben weniger Passwörter zu merken, wie man sie schwächer machen endet, als sie sein sollten.

Answer 10

Sie müssen in einem solchen Szenario eine einzigartige Benutzer-ID haben. Eine andere Option ist eine gültige E-Mail-Adresse sein könnte, aber was ist mit Spam dann.

Deshalb ziehe ich die URL-basierte Benutzer-ID. Und für mich, die Nutzbarkeit mit OpenID (in meinem Fall myOpenID) ist groß.

Answer 11

Ich denke, dass einige der OpenID-Implementierungen lassen viel zu wünschen übrig.

Ich stellte Yahoo würde es richtig machen, aber Ihre OpenID micro-site (information und Umsetzung) ist Quatsch meiner Meinung nach.Das layout ist verwirrend, Sie machen es nicht klar, wie open-id bezieht sich auf ein standard-Benutzer-yahoo-Konto.

Nachdem ich herausgefunden dem Bildschirm war nötig, um das starten meiner log-in-Anfrage, yahoo hat ein OpenID-Signatur, die eine randomisierte Zeichenfolge.Dies war nicht akzeptiert von stackoverflow.Ich hatte einen neuen alias erstellen, die hatte auch eine Standard-option.Ohne eine ebenso hartnäckige Wunsch, zu arbeiten es aus, ich denke, dass viele Nutzer geben würde.

Meiner Meinung nach, strengere Richtlinien für die Umsetzung müssen produziert werden, und die Kampagne muss stark publik zu erziehen potentiellen Benutzer.

Vielleicht könnte die Technologie sein, enthalten in der browser-Implementierung?

Answer 12

JA.

Es gibt noch mehr Lügen-in. Ich muss gehen und melden Sie sich an, um meine OpenID-Provider dann muss ich auf die Website gehen und melden Sie sich erneut mit der OpenID-URL. Nein will mehr Arbeit tun und OpenID ist viel mehr Arbeit.

Ich kenne niemanden, der nicht im Computerbereich ist die OpenID verwendet. OpenID ist immer noch zu komplex. Der durchschnittliche Benutzer muss nicht durch eine andere Schicht der Abstraktion verwechselt werden.

Es gibt auch die Frage der Verfolgung, wo die OpenID-Nutzer gehen. Ich benutze VeriSign, einen vertrauenswürdigen Namen, aber was ist mit denen, die unter Verwendung weniger vertrauenswürdige Anbieter. Nein, ich werde keine Namen nennen und eine Flamme Krieg beginnen.

Es gibt eine bessere Antwort, sie genannt wird RoboForm ( oder einer der vielen knock-offs). Alle Benutzer-Passwörter und Namen werden auf ihre Maschine gehalten und ist verschlüsselt. Es ist einfach zu bedienen, sicherer und schneller.

Answer 13

Ich denke, es Aspekte von OpenID sind die Usability-Probleme für viele Anwender darstellen, könnte aber wahrscheinlich über Verbesserungen der Benutzeroberfläche behoben werden. Zum Beispiel kann eine URL ist fast von Natur unbrauchbar für die meisten Anwender. Aber es gibt keinen Grund, die abstrahiert werden kann, damit der Benutzer einfach ihre Anbieter wählt und gibt den Benutzernamen sie zu diesem Anbieter verwenden. Darüber hinaus zu einem anderen Ort gehen eingeloggt ist ein riesiges Usability-Problem und stellt zu Recht rote Fahnen an Benutzer über off, welche Daten sie wem sind bereitstellt. Das wird viel schwieriger zu lösen.

Answer 14

Wäre dies schließlich nicht die Identität einer Person gefährden, wenn es gestohlen wird oder verloren? Das ist mein Hauptanliegen. Anonymität hat Vorteile als auch Nachteile. Ich glaube, both.I in mit habe enge Freunde, die auf der Tatsache, die Facebook-Community fürchten Beitritt, dass es so offen, es wird ein leichtes Ziel, wenn die Datenbank jemals angegriffen wird.

Answer 15

Ich will nicht ein anderes System meine IDs für meine Anwendungen zu besitzen.

ich das Konzept einfacher für den Anwender und gleichmäßiger.

Allerdings UserID für Website-Besucher auf die Erfahrung so Schlüssel ist, wollen Sie nicht in einen Korb alle Eier legen (Microsoft Passport, OpenID, etc). Wenn sich die Dinge ändern, haben Sie verkorkste alle Benutzerkonten.

Answer 16

Das Konzept ist in Ordnung aber das Design ermöglicht eine klaffende Sicherheitslücken ...