¿Cuál es el beneficio de utilizar SÓLO la autenticación OpenID en un sitio?
https://stackoverflow.com/questions/60436
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
De mi experiencia con ID abierto, veo una serie de desventajas importantes:
Agrega un Punto único de fallo al sitio
No es una falla que el sitio pueda solucionar incluso si se detecta.Si el proveedor de OpenID no funciona durante tres días, ¿qué recursos tiene el sitio para permitir a sus usuarios iniciar sesión y acceder a la información que poseen?
Lleva al usuario al contenido de otro sitio y cada vez que inicia sesión en su sitio.
Incluso si el proveedor de OpenID no tiene ningún error, el usuario es redirigido a su sitio para iniciar sesión.La página de inicio de sesión tiene contenido y enlaces.Por lo tanto, existe la posibilidad de que un usuario sea arrastrado fuera del sitio y caiga en la madriguera de Internet.
¿Por qué querría enviar a mis usuarios al sitio web de otra empresa?
[ Nota:mi proveedor ya no hace esto y parece haber solucionado este problema (por ahora).]
Agrega una cantidad de tiempo no trivial al registro
Para registrarse en el sitio, un nuevo usuario debe leer un nuevo estándar, elegir un proveedor y registrarse.Los estándares son algo que los técnicos deben aceptar para que la experiencia del usuario sea sencilla.No son algo que deba imponerse a los usuarios.
Es el sueño de un phisher
OpenID es increíblemente inseguro y robar la identificación de la persona cuando inicia sesión es trivialmente fácil.[tomado de David Arno Respuesta abajo ]
A pesar de todas las desventajas, la única ventaja es permitir a los usuarios tener menos inicios de sesión en Internet.Si un sitio ha optado por OpenID, los usuarios que deseen esa función pueden utilizarla.
Lo que me gustaría entender es:
¿Qué beneficio obtiene un sitio por crear OpenID? obligatorio?
Solución
La lista de desventajas omite la más obvia:es el sueño de un phisher.OpenID es increíblemente inseguro y robar la identificación de la persona cuando inicia sesión es trivialmente fácil.
Sin embargo, Matt Sheppard da en el clavo en cuanto a la respuesta: el beneficio de usar únicamente OpenID es que implica menos molestias para el creador del sitio, ya que no hay que manejar nombres de usuario ni contraseñas y no se requiere un código de creación de cuenta de usuario.
Otros consejos
El beneficio de hacer que OpenID sea obligatorio es simplemente que no es necesario escribir el código de inicio de sesión para el sitio web (más allá de la integración de OpenID) y no es necesario tomar precauciones para almacenar contraseñas de usuario, etc.
No tener su propio código de inicio de sesión también significa no tener que lidiar con muchos problemas de soporte, como restablecer contraseñas perdidas, etc.
Ciertamente, la mayoría de sus desventajas son válidas, así que supongo que se convierte en una compensación.
Lo que me sorprende es que no hay más sitios que establezcan una relación estrecha con un proveedor de OpenID en particular hasta simplemente la fase de registro de cuenta, es decir.algún tipo de página de inicio de sesión 'Puede usar cualquier OpenID que desee, pero también puede crear uno ahora mismo ingresando un nombre de usuario y contraseña, etc.', que crea automáticamente una nueva cuenta con el proveedor seleccionado.
Es una buena forma de subcontratar una parte de su infraestructura.No tienes que preocuparte por la pérdida de contraseñas, etc., alguien más lo hace por ti.
Aunque no estoy seguro de usarlo exclusivamente.No he usado OpenID lo suficiente como para confiar completamente en él, y el proceso de registro debe simplificarse hasta que > 90% de los usuarios tengan un OpenID.
Agrega un punto crítico de falla al sitio.
el tercero mas alto idea sobre la voz de usuario para Stackoverflow es permitir cambiar el proveedor de OpenID.Y en los comentarios está la sugerencia de permitir asociar más que en OpenID.En sitios donde se pueden asociar múltiples OpenID con una cuenta, si su proveedor de OpenID habitual no funciona, aún puede iniciar sesión con otro proveedor (suponiendo que ya lo haya asociado con el sitio).
Además, es sólo un punto crítico de falla para los usuarios del proveedor OpenID que no funciona.Todos los demás usuarios de otros proveedores de OpenID pueden continuar registrándolo.Con el tiempo, se esperaría que los usuarios migraran a los proveedores más confiables.
Lleva al usuario al contenido de otro sitio y cada vez que inicia sesión en su sitio.
Si ha configurado su proveedor de OpenID para que siempre confíe en un sitio (o consumidor de OpenID en la nomenclatura) y ya ha iniciado sesión en su proveedor de OpenID, lo redireccionarán directamente al sitio sin que usted siquiera vea el sitio de su proveedor de OpenID.
Agrega una cantidad de tiempo sin prueba al registro
Actualmente eso puede ser cierto, pero como dijo andyuk, "Esto se vuelve un problema menor cuanto más sitios admitan OpenID".Espero que dentro de unos años la mayoría de los usuarios ya tengan un OpenID y sepan qué es.
Uno de los grandes beneficios de utilizar OpenID únicamente desde una perspectiva de ingeniería es que abstraer la parte de autenticación de credenciales permite a los usuarios elegir métodos de autenticación que son mucho más sofisticados que cualquier cosa que se molestaría en crear para su sitio.Sí, algunos proveedores de OpenID son fácilmente objeto de phishing.Por otro lado, otros usuarios de OpenID inician sesión con tarjetas de información, tokens de hardware o verificación telefónica, y estas son credenciales que no puedo ser capturado y reproducido por un phisher.
Como Gabe Wachob Ponlo:
Las personas que quieran innovar en métodos de autenticación [...] NO tienen que ser las mismas personas que innovan en la oferta de servicios en la web (cualquiera entre un millón de personas que ejecutan Mediawiki, Drupal, etc.).Esa "desvinculación" de la innovación en autenticación y la innovación en servicios es lo que resulta valioso en OpenID.
Entonces, al utilizar OpenID, puede ofrecer a sus usuarios métodos de autenticación más sólidos.La abstracción le permite implementar una interfaz y luego puede elegir cualquier proveedor con el que trabajar, ya sea que utilicen contraseñas de ocho caracteres en texto sin cifrar o implantes neuronales de respuesta a desafíos.
Alienta a los usuarios a registrarse en OpenID, obtener más información sobre él y, con suerte, evangelizarlo ellos mismos.
Stack Overflow demuestra que simplemente admitir OpenID puede funcionar.
"Agrega un punto crítico de falla al sitio"
En caso de que un proveedor de OpenID no funcione, el sitio debe tener un mecanismo que permita a los usuarios iniciar sesión y agregar/cambiar proveedores de OpenID.Quizás el sitio podría enviar por correo electrónico un enlace temporal para evitar la seguridad y que los usuarios puedan acceder a su cuenta.
"Lleva al usuario al contenido de otro sitio y cada vez que inicia sesión en su sitio"
Mi proveedor de OpenID me permite confiar en un sitio web determinado, por lo que ni siquiera necesito ver su sitio web.
"Agrega una cantidad de tiempo sin prueba al registro"
Esto se vuelve un problema menor cuanto más sitios admitan OpenID.
Como desarrollador web, soy un gran admirador de la idea de OpenID.Escribir código de autenticación es un dolor de cabeza.Como usuario web, soy un gran admirador de OpenID (para usos no críticos como SO, foros, etc.) porque una vez que tienes el ID, es una forma muy sencilla de unirte a un sitio.
Creo que, salvo algunas excepciones, como una comunidad para desarrolladores, en este momento no se puede forzar únicamente OpenID.El usuario web "promedio" (lo que sea que eso signifique) no lo entiende.Sin embargo, promocionarlo en un sitio como este genera conciencia entre los desarrolladores y la idea eventualmente se difundirá.A medida que OpenID aparece en más y más sitios, la gente lo consulta, se da cuenta de que tiene uno y luego comienza a usarlo.Para que OpenID -que es una gran idea- tenga éxito, es necesario que haya una masa crítica de usuarios y sitios que lo soporten.
Con el tiempo, será "como es" y nos preguntaremos por qué creamos un código de autenticación para cada sitio web que creamos, o por qué crearíamos una identidad única en todos los lugares a los que visitáramos la Web.
Como se discutió en uno de los podcasts, agrega una barrera de entrada al viajero que se pregunta si este podría ser el lugar donde debería publicar su Yahoo!Responde la pregunta.
Es algo elitista, pero dado el enfoque de este sitio web en particular, es bastante aceptable rechazar a cualquiera que no pueda entender el proceso de Open ID, y cualquiera que realmente tenga una pregunta real que necesite respuesta puede molestarse en resolver cualquier problema. ligera dificultad.
Según mi experiencia con OpenID, veo una serie de ventajas importantes:
Si elige iniciar sesión con su proveedor OpenID de confianza, por ejemplo.Verisign PIP+VIP puede disfrutar del beneficio de los mecanismos de autenticación SecureID fuera de banda.Esto debe verse como el principal beneficio que supera a TODOS los demás.Ya no confía en cualquier forma de autenticación basada en formularios de mierda que haya en el sitio al que accede, confía en Verisign VIP o cualquiera que sea su elección de proveedor de OpenID.
¿Madriguera del conejo de Internet?Suena como una mala implementación y, por mi parte, no sé a qué te refieres.
No se pueden robar detalles de autenticación fácilmente, ¡puede ser más imposible que lo que ya tenemos!Es posible que pueda engañarme haciéndome creer que me estoy comunicando con mi proveedor, pero Verisign tiene la opción de no permitir ni aceptar redirecciones.También veo estos problemas de phishing como algo trivial, especialmente si los comparamos con los beneficios de los mecanismos de autenticación fuera de banda que puede obtener a través de su proveedor de autenticación OpenID.Entonces, supongamos que usted phishing detalle de la clave RSA una vez, no sería válido la próxima vez o tal vez simplemente sería totalmente inútil si dijera que use un certificado de navegador.
En conclusión, OpenID es solo la evolución del sistema actual, una dirección de correo electrónico para verificar.Si su cuenta de correo electrónico es su único punto de falla actual, entonces sí, su OpenID podría ser su nuevo punto único de falla en el caso de que el OpenID que controla ya no esté bajo su control.Por lo tanto, si sólo confía en su servidor de correo electrónico, simplemente aloje su propia URL OpenID.Si confía en Gmail, utilice una URL de Gmail para su OpenID porque, del mismo modo, ya confía en Gmail como su SSO, ya que su cuenta de Gmail puede, en última instancia, recuperar las contraseñas de su cuenta.
Es una obviedad, pero puedo ver que algunas personas pueden tener dificultades para comprender los conceptos básicos de los mecanismos de autenticación.Si PUEDO iniciar sesión con mi tarjeta SecureID (a través de mi proveedor OpenID) en un sitio en el que tengo una cuenta, LO HARÍA.Así que si fuera la única opción, ¡la tomaré!
Agrega un punto crítico de falla al sitio
Ese punto crítico de falla podría ser el correo electrónico de confirmación que envía, pero el buzón del usuario a) no está disponible debido a un error tipográfico, b) está lleno o c) el proveedor está "inactivo".
Lleva al usuario al contenido de otro sitio y cada vez que inicia sesión en su sitio.
Puedo verlo, pero en mi humilde opinión, esto no es tan malo.Quiero decir, ¡Y!Parece ser uno de los inicios de sesión más desordenados y tampoco me funciona nunca.;) Aparte, la mayoría de los proveedores de OpenID no se ven tan mal (todavía).
Además, tenga en cuenta a su audiencia.Si mamá y papá son tus usuarios, OpenID probablemente sea muy confuso.Pero probablemente también lo sea mucho en Internet.En el caso de SO, las personas son usuarios algo inteligentes y saben lo que quieren.
Agrega una cantidad de tiempo sin prueba al registro
Esto no es un problema.Mire la lista de proveedores:http://openid.net/get/
Mucha gente tiene al menos un Yahoo!cuenta, así que si realmente funcionó.No sería tan malo.Sin embargo, estoy de acuerdo en que si un usuario no tiene OpenID y no sabe para qué sirve.No es tan fácil educarlos.
Y piense en la implicación: "para registrarse en el sitio A, debe registrarse en el sitio B".Y todos sabemos que registrarse per se es un dolor de cabeza.Pero a largo plazo, esto es exactamente lo que OpenID intenta abordar.
En general, actualmente no veo ningún valor en hacer que OpenID sea obligatorio.Aunque me gusta como complemento.Cómo las personas proporcionan enlaces para "iniciar sesión con su Facebook", etc.Entonces las personas que no lo entienden (o no les importa) no necesitan preocuparse.Pero otros todavía pueden usarlo.
OpenID puede ser lo mejor desde el pan de molde, pero no me han dado ninguna razón para confiarles mi identidad a "ellos", aparte de que Jeff Atwood/Joel Spolsky me obligaron a hacerlo para estar aquí quejándome de ello ;-)
Una cosa que mencionar también.Ya tienes una base de usuarios con OpenID, solo necesitan iniciar sesión.
Estoy a favor de OpenID, principalmente desde el punto de vista de la facilidad de uso.Aún no estoy convencido de su seguridad, pero tiene mucho potencial.Se podrían decir muchas cosas al respecto, pero sólo quería responder a los dos puntos siguientes:
Agrega una cantidad de tiempo no trivial al registro
Sólo la primera vez que se configura.Además, con empresas como Yahoo brindando soporte ahora, muchas personas ni siquiera tendrán que molestarse en configurar un OpenID si no lo desean.Si utilizara Google o alguien similar como proveedor de OpenID, ¿lo consideraría intrínsecamente inseguro?¿Y con qué frecuencia esperaría que tuvieran tiempo de inactividad?
Es el sueño de un phisher
Acepto que esto podría ser en parte cierto.¿Pero el phishing no es más un problema social que tecnológico?OpenID podría hacerlo más fácil, pero eso no elimina el hecho de que el verdadero problema es el usuario.Es mucho más importante concienciar a los usuarios sobre cómo operan los phishers que tratar de protegerlos mediante la tecnología.
Al menos OpenID le envía a su proveedor de OpenID para iniciar sesión.
Estaba leyendo un blog en blogspot y hay un enlace para seguir este blog (presumiblemente, avíseme cuando haya publicaciones nuevas). Para hacer esto, aparece un cuadro que me pide mi nombre de usuario y contraseña de Gmail.
Incluso suponiendo que esto sea genuino y no un sitio de phishing, ahora (potencialmente) tienen acceso a mi Gmail, mis documentos de Google, mis aplicaciones de Google, ¡todo!
El principal beneficio de tener un OpenID se verá a largo plazo.En lugar de tener que solicitar una identidad en diferentes sitios, lo hace una vez y luego la usa en todos los sitios que requieren una identidad única.Por supuesto, para sitios seguros como los bancarios y comerciales se necesitará un tipo de pensamiento completamente diferente.Pero para sitios de redes sociales y similares, puedes usarlo fácilmente.
A mamá y papá también les resultará fácil porque ahora solo tendrán que recordar un nombre de usuario y contraseña.Muchas veces nos resulta difícil recordar qué inicio de sesión tenemos en qué sitio y terminamos usando el nombre de usuario y la contraseña correctos del Sitio A en el Sitio B.OpenID resolverá eso.Además, es un buen modelo de ingresos para un proveedor y usuario de OpenID.Puedo ingresar a uno de esos proveedores todos los detalles que estoy dispuesto a brindar y con cada detalle que doy puedo ganar dinero.
Tal vez el proveedor pueda convencerme de que le cuente más sobre mí usando eso como incentivo, que luego pueda vender a los sitios en los que me registre.Entonces el sitio A paga a OpenID por mi información.OpenID luego me pasa una parte de eso.El sitio A no tiene que administrar usuarios, OpenID obtiene dinero, el usuario obtiene dinero, todos están contentos :)
De esta manera no tendrás que hacer que OpenID sea obligatorio.La gente misma lo querrá.Los proveedores de OpenID competirán entonces entre ellos para ofrecer mejores servicios y, cuando haya competencia, se proporcionará un mejor valor a todos los interesados.Creo que es una idea fabulosa.
Editar: En cuanto a los tiempos de inactividad en un proveedor en particular;Si el proveedor A de OpenID no está seguro de proporcionar un tiempo de actividad del 100%, puede necesitar la ayuda de otro proveedor B, y el usuario del proveedor A puede elegir entre las opciones que ofrece el proveedor A.El sitio que acude al proveedor A para autenticar a un usuario sabrá a qué otros proveedores acudir en caso de que el proveedor A no funcione.Esto se almacenará automáticamente en su base de datos la primera vez que inicie sesión.¿Alguien quiere hacer una lluvia de ideas sobre los detalles de implementación?:)
