¿Qué razones hay para NO usar OpenID?

StackOverflow https://stackoverflow.com/questions/410085

Pregunta

Usted ve un poco (en la comunidad Geek) sobre OpenID. Parece una buena idea. Estoy desarrollando un sitio web que estará dirigido a un público algo menos friki (pero tampoco a mamá y Pops), así que me pregunto si OpenID va a ser "muy difícil". para algunas audiencias.

¿Qué piensas? Aparte de eso, ¿existen otras razones técnicas o no técnicas para NO usar OpenID?

¿Fue útil?

Solución

Los usuarios promedio aún no entienden qué es OpenId, para qué sirve o cómo usarlo. Mis padres no podrían iniciar sesión en Stack Overflow, por ejemplo.

Dicho esto, se trata en gran medida de la interfaz de usuario. No hay nada que les impida de forma inherente que utilicen OpenId, solo necesitan una interfaz de usuario que los aleje de ellos y que solo les permita iniciar sesión con su cuenta de Google (por ejemplo).

Otros consejos

Puede ser un poco inexacto decir que la persona promedio no entiende OpenID.

En la mayoría de los casos, con un poco de marketing persuasivo (es decir, "¡¡USE UN INICIO DE SESIÓN EN TODOS LOS SITIOS! nombres de usuario y contraseñas en diferentes sitios.

El problema, sin embargo, es que para un usuario promedio, toda la experiencia de OpenID va en contra de lo que creen que es la seguridad en línea.

  • Los usuarios no confiarán automáticamente

    Con los nombres de usuario y contraseña normales, los usuarios entienden que una contraseña debe mantenerse en secreto, y eso es lo que protege su privacidad cuando inician sesión en un sitio. ¿Cómo deben entender el intercambio que se lleva a cabo entre un sitio de cliente de OpenID y su proveedor de OpenID? Todo lo que saben es que no tuvieron que ingresar una contraseña (suponiendo que siempre hayan iniciado sesión en su proveedor de OpenID), por lo que no es seguro, ¿verdad? Quiero decir, a los ojos de un usuario, ¿cómo puede ser seguro si no dieron una contraseña? Esto puede llevar a la desconfianza del usuario.

  • Facilita la suplantación de identidad (phishing)

    (Muchos) los usuarios saben que es incorrecto reutilizar la misma contraseña para diferentes cuentas, pero esto parece ser precisamente lo que está haciendo OpenID. ¿Qué sucede si un usuario simplemente asume que todo lo que está haciendo su proveedor de OpenID es compartir su contraseña con todos los sitios participantes? Quiero decir, ¿de qué otra manera podría OpenID 'iniciar sesión para ellos' en todos estos sitios? Si el usuario asume que a través de OpenID, su contraseña se conoce en todos los sitios participantes de OpenID, puede asumir que es bastante razonable dar esta contraseña a cualquiera de esos sitios. Es una pesadilla de phishing. Imagine que coloca esta frase en su sitio: " Ingrese su nombre de usuario (algún proveedor de OpenID) [] y contraseña [] " Ya estás phishing.

    No debemos olvidar, también, que un usuario estaría correcto en sus sospechas en un aspecto, incluso si por una razón ligeramente diferente: si alguien obtiene acceso a su proveedor de OpenID, obtiene acceso a su identidad en todos los sitios donde han usado esa identidad, que es el mismo inconveniente de usar la misma contraseña en varios sitios.

  • Se desvía demasiado de lo que los usuarios entienden

    El hecho de tener múltiples nombres de usuario / contraseñas en diferentes sitios no es difícil de entender para los usuarios. Los usuarios entienden bien el concepto de nombres de usuario y contraseñas, porque están acostumbrados a ellos, y el punto de seguridad (el hecho de que la contraseña sea un secreto) es realmente obvio para ellos. Es realmente claro cómo funciona una contraseña. Tener múltiples combinaciones de nombre de usuario y contraseña no hace que esto sea más confuso o complicado, es lo mismo, pero más de uno de ellos. Si bien recordar las contraseñas múltiples puede ser difícil, los usuarios al menos saben cómo hacerlo y cómo funciona.

    OpenID intenta resolver el problema de recordar varias contraseñas, pero en el proceso crea un paradigma completamente nuevo, uno que es completamente opaco para los usuarios. A diferencia de una contraseña, cuya seguridad es obvia (solo tiene que ser secreta), toda la seguridad de OpenID continúa detrás de la escena, con sitios que se comunican entre sí, claves y hashes, etc. El usuario ya no entiende completamente cómo La privacidad se protege o lo que se debe mantener en secreto de quién, porque no entienden cómo funciona el sistema. Por lo tanto, en un intento de resolver el problema de recordar varias contraseñas, OpenID ha creado un sistema místico de intercambios de claves que viola la comprensión que tiene el usuario de cómo funciona la autenticación y por qué es segura.

OpenID es espectacularmente susceptible a intentos de phishing. Si ejecuta un sitio de OpenID, intente cambiar la página de inicio de sesión un día para solicitar el identificador y la contraseña, en lugar del enfoque normal de solo solicitar el identificador y redirigir al proveedor de OpenID para solicitar la contraseña del usuario. Apuesto a que puedes obtener más de un cuarto de las contraseñas de tus usuarios de esta manera.

Sí, seguridad. El uso de OpenId lo pone a merced de ellos administrando sus cuentas. No tienes control sobre la seguridad de la contraseña y los ID de usuario. Confía en alguna otra organización para verificar que las personas que visitan su sitio son quienes dicen ser. Si necesitas verificar realmente que alguien es quien dice ser. No obtendrás eso con la identificación abierta sin hacer algún tipo de verificación secundaria por ti mismo. en cuyo caso es mejor que no uses OpenId.

Esto viene mucho.

Una buena regla:

  

Si necesitas recolectar y mantener   privado personalmente identificable   información, no utilice OpenID.

     

Si no necesita recolectar y guardar   privado personalmente identificable   Información, sigue adelante y ofrece OpenID.   como un método para iniciar sesión.

Para el comercio electrónico, o en cualquier otro lugar que necesite para cumplir con la certificación PCI / DSS, no usaría OpenID.

No me importa que SO sea exclusivamente OpenID, sin embargo, no haría un sitio que lo usara exclusivamente.

  1. La interfaz es terrible.

    a. Registrarse con OpenID toma más tiempo y experiencia. El registro normal lleva muy poco tiempo o experiencia. El registro se realiza una vez, pero es una gran inversión inicial, por lo que el sitio tiene que ser muy atractivo.

    b. El inicio de sesión implica: tres datos en lugar de dos; dos páginas web en lugar de una (tres en StackOverflow, en realidad); y un sitio web externo. CADA VEZ.

    c. Hay mejores interfaces para este tipo de solución. Yo uso KeePass, por ejemplo.

  2. Colisiones de nombres. No hay forma de asegurar nombres únicos.

  3. La seguridad es terrible.

    a. Fomenta el comportamiento de phish. No es tan malo como " Verified by Visa, " pero está cerca.

    b. Punto único de falla: si pierde algo, pierde todo. KeePass al menos me permite proteger físicamente la contraseña (debe tener el disco duro con la base de datos cifrada en it).

    c. Seguimiento de sitios cruzados. Las compañías de tarjetas de crédito en realidad tienen reglas que rigen la cantidad de seguimiento que pueden hacer. Las cookies se pueden desactivar o prevenir de forma selectiva en los navegadores modernos. OpenID no tiene reglas ni gobernadores.

  4. En realidad no es universal. Google proporciona OpenID ... pero no los usa . Lo mismo para Yahoo. Y para AOL. No hay incentivo para que un proveedor de OpenID permita el uso de OpenID de otros proveedores.

  5. OpenID es útil para la autenticación, pero no para autorización, particularmente para cualquier cosa sensible (tarjetas de crédito, por ejemplo).

Para mí, personalmente, uso un nombre de usuario / contraseña por sitio, y uso KeePass (que puedo proteger físicamente y con dos capas de contraseñas que deben ser descifradas) para mantener la abstracción de un inicio de sesión para todas partes.

Eso incluye StackOverflow: creé un OpenID especialmente para ustedes, y nunca lo usaré en ningún otro lugar. Hice esto, y soporté el dolor de inicio de sesión porque el contenido es convincente.

Pero si alguna vez se proporcionara un método de autenticación real para StackOverflow, saltaría sobre él en un instante, solo por la facilidad de uso que se obtiene.

OpenID sigue siendo tan inseguro como cualquier otro método de autenticación basado en contraseña. De hecho, es aún peor porque si alguien tiene acceso a su OpenID, ahora tiene más de esa cuenta. Por supuesto, también hay ataques de phishing, pero todos somos programadores expertos, administradores de bases de datos y de sistemas, por lo que no caeríamos en tales cosas, ¿no?

La seguridad de autenticación se basa en la confianza. Como otros lo señalaron, ¿por qué confiaría un tercero en información potencialmente confidencial? Claro, usted puede configurar un servidor OpenID usted mismo, pero ¿cuánta molestia es eso en comparación con el mantenimiento de contraseñas separadas en múltiples sistemas? Claro, puede crear contraseñas seguras que sean largas y llenas de caracteres no alfanuméricos, e incluso almacenarlas todas en un administrador de contraseñas (sí lo hago), pero algunos sitios tienen fallas en que se puede completar un sencillo formulario de recuperación de contraseñas para obtener Acceso para restablecer la contraseña.

Probablemente me inclinaría por apoyar e incluso evangelizar a OpenID si hiciera una autenticación segura basada en clave privada, a la SSH o PGP. Tal vez sea una cuestión de que un proveedor ofrezca un método de este tipo, no lo he investigado aún.

Finalmente, aunque todos confiamos lo suficiente en OpenID para usarlo para autenticarse en Stack Overflow, mi OpenID es un "desechable", y no es como si estuviera usando esto como una herramienta de creación de reputación profesional (es decir, mi nombre real no está involucrado ;-)). Estoy seguro de que no soy el único (¡tan genial y asombroso como lo es este sitio!).

OpenID es bueno si todos los sitios lo usan. Pero registrarse en OpenID solo para usar UN sitio, es demasiado. Registrarse en OpenID no es tan sencillo como registrarse directamente en un sitio (desde el punto de vista del consumidor).

Es divertido para mí leer este tema, refleja exactamente mi experiencia con OpenID:

StackOverflow.com fue para mí la razón para obtener un OpenID.
Muchas búsquedas en Google me llevaron a este sitio web, y nunca pude dejar comentarios.
Pensé en registrarme muchas veces, pero no lo hice por OpenID. No me quedó claro qué era exactamente.
Pero un día, tomé la decisión de registrarme y me tomó un tiempo, pero no me arrepiento porque lo uso todos los días. Me da una sensación más segura, aunque soy consciente de que solo una cuenta podría dar lugar a muchos problemas si se supera.

Para mí, OpenID es una forma realmente agradable de iniciar sesión rápidamente en sitios que no conozco, pero también en sitios web más grandes como StackOverflow.com
El problema principal es que los nuevos usuarios deben ser incorporados al proceso de registro y luego descubrir qué tan bueno es realmente OpenID.

Es bueno como complemento al registro normal, pero no es muy fácil de usar si es la única forma de iniciar sesión en su sitio. Mire el registro en stackoverflow: todos los sitios se mencionan especialmente para ayudar a las personas a comprender de qué se trata todo esto. Y este sitio es para geeks :)  Entonces el menos es la complejidad.

Consulte también este enlace

Si tiene un sitio que requiere un alto nivel de seguridad, no desea dejar el manejo de sus credenciales de inicio de sesión a un proveedor externo, donde no tiene control sobre el acceso. Si el proveedor de OpenID es hackeado, dejará su seguridad a su cargo.

Todos pueden conectar las cosas que hago en un sitio a las que hago en otros sitios cuando uso un OpenID, porque es lo mismo en todas partes. Así que no usaría la misma ID que uso aquí para un sitio porno, por ejemplo.

hay muchas razones esa es una cuenta que hace el acceso a todos. Si esto se compromete, te metes en problemas.

Si está configurando una página que usa openid, entonces debe saber que todos pueden configurar un servidor openid (también los spammers pueden hacer eso).

-

pero openid tiene buenas ideas y me gusta usarlo.

Me sorprende que alguien que haya usado Stack Overflow no haya podido pensar en una razón para NO usar OpenId, ¡¿porque es molesto?

Ted Dziuba hizo un trabajo mucho mejor de Ripear en OpenId de lo que lo haría, así que simplemente lee lo que escribió.

Otra buena razón: Facebook Connect parece estar funcionando muy bien. A medida que la membresía de Facebook siga creciendo, esto hará que el soporte de Facebook Connect sea mucho más valioso.

Supongo que en algún momento Facebook podría convertir a Connect en un proveedor de OpenId ... pero en realidad, ¿por qué querrían hacerlo?

Por lo que puedo decir, parece que un proveedor de OpenID no está obligado a dar una dirección de correo electrónico del titular de la cuenta, aunque algunos sí.

Si su servicio requiere una dirección de correo electrónico para comunicarse con sus usuarios (por ejemplo, para enviar un boletín informativo, en el que prefieren las personas que nunca han oído hablar de RSS), es posible que tenga que capturar un OpenID Y verificar un correo electrónico. dirección.

Un sistema en el que solo se requieren una dirección de correo electrónico y una contraseña y que emplee un mensaje de activación de correo electrónico sería un trabajo menor para los usuarios.

El número de proveedor de cuenta de OpenID que tiene (google, yahoo, twitter, etc.) es igual al número de cuentas que puede usar automáticamente para iniciar sesión en un sitio web con OpenID. Esto ciertamente no es una ventaja, pero puede ser una gran desventaja.

Licenciado bajo: CC-BY-SA con atribución
No afiliado a StackOverflow
scroll top