¿OpenID es un concepto defectuoso?

Question

No estoy preguntando acerca de implementaciones específicas, no estoy preguntando acerca de la visión global del mundo de los mecanismos de inicio de sesión único entre sitios, solo quiero saber qué piensa la comunidad sobre la usabilidad subyacente de OpenID. ¿Crees que usar una URL emitida por un surtido aleatorio (para el observador no técnico) de proveedores en lugar de un nombre de usuario real es algo que la gente va a preferir? Si no, ¿alguien tiene un mecanismo mejor? Si hay suficiente interés, haré un seguimiento con una pregunta de SSO más general.

Answer 1

NO.

No creo que sea un sistema fundamentalmente defectuoso. En términos de usabilidad, diría que es defectuoso ya que es una desviación de la norma y es más difícil acostumbrarse, es decir, URL en lugar de un nombre de usuario, tener que elegir un proveedor. Pero creo que son los únicos problemas, y se pueden hacer y se están haciendo cosas que los mejoran (ajustes de usabilidad en las páginas de inicio de sesión, Yahoo y Google conciencian sobre la idea).

Aparte de eso, creo que es un gran sistema:

• Recuerdo una combinación de contraseña de ID de cuenta (no necesito confiar en soluciones de software para los muchos problemas de ID y contraseña)
• No necesito completar un formulario cuando voy a un nuevo sitio web y espero los correos electrónicos de registro para confirmarlo.
• Si no confío en un proveedor de OpenID, puedo convertirme en mi propio proveedor, con relativa facilidad, lo que personalmente creo que es un gran logro para un estándar. Hacer algo tan versátil y (AFAIK) fácil es para mí, realmente algo.
• Desacopla la responsabilidad de crear un sitio web a partir del almacenamiento de contraseñas y la seguridad, cuando ambos trabajos se vuelven cada vez más difíciles.
• En realidad, no sé mucho sobre el siguiente punto, pero creo que es muy fácil usar una cuenta OpenID para alojar múltiples personas, que se pueden usar para diferentes sitios web, p. " esa es mi persona de trabajo, eso es lo que presento cuando me registro en ilovemyjob.com. Y esta es mi persona amiga, la uso para Facebook " y las diferentes personas tienen información diferente vinculada a ellas. Como digo, no sé mucho sobre cómo se hace esto, o exactamente por qué sería útil ... pero descubriré para qué podría ser bueno.

Esos son los principales beneficios que veo con OpenID. En términos de desventajas, está el aspecto de usabilidad, que admito es un problema. El otro punto principal que la gente usa para criticar OpenID es que si la cuenta se ve comprometida, muchos inicios de sesión se ven comprometidos. En mi opinión, esto no es peor que el sistema actual de correos electrónicos vinculados a cuentas, que podrían verse igualmente comprometidos y utilizados para eso "¿olvidó su nombre de usuario?" funcionan en muchos sitios web. También me gustaría señalar que OpenID no está destinado a resolver ese problema, es una solución para el problema de ID / contraseña múltiple. Sin embargo, tener una contraseña otorga una licencia mayor para seguir actualizándola para mayor seguridad, sin tener que confiar en que el software la recuerde por usted o se olvide todo el tiempo.

Entonces, OpenID tiene sus problemas, pero yo diría que es una buena solución para el problema de ID / contraseña múltiple.

Referencias:
Interesante Google Talk sobre el tema

Answer 2

Sí.

Primero, elegir un proveedor es difícil. Si fuera un usuario con menos experiencia, preguntaría "¿por qué necesito compartir mi información con X para usar un sitio administrado por Y?" Y luego, una vez que lo superes, debes elegir a quién confiar con tu información. Yo personalmente fui con Verisign porque confío en Verisign. Pero algunas personas podrían nunca haber oído hablar de algunos de estos proveedores y no estarían en condiciones de tomar una decisión informada.

Segundo, iniciar sesión es difícil. En lugar de ingresar un nombre de usuario, tengo que ingresar una URL (aunque StackOverflow hace que sea más fácil elegir un proveedor y su nombre de usuario y hace la URL por usted).

Tercero, si mi OpenID está comprometido, entonces todas las cuentas en los sitios en los que uso OpenID también están comprometidas. Algunas personas sugieren tener múltiples OpenID para superar esto, pero creo que eso frustra todo el propósito de OpenID.

Answer 3

No entiendo la angustia contra OpenID.

Mi experiencia con el inicio de sesión en este sitio (es cierto que la única identificación abierta con la que he tenido que lidiar) fue simple. Vi que OpenID requería algo y tuve una vaga comprensión de que mi inicio de sesión en el sitio se delegaría a alguien más en quien confié y con el que ya tenía una identificación. En pocas palabras, había un enlace al proveedor de mi actual proveedor de correo electrónico en línea. Haga clic, siga un proceso que fue tan simple que ni siquiera recuerdo haberlo hecho.

Ahora que la conexión de identificación abierta está configurada, no es más difícil que cualquier otro sitio con el que trato y la magia es que no tuve que agregar otra cuenta a un sitio que No tenía idea de que iba a volver a usar y probablemente olvidaría el nombre de usuario o la contraseña.

Me gusta, el concepto y la ejecución.

Answer 4

Lo he dicho antes, y probablemente lo vuelva a decir, pero la idea de URL es una idea fundamentalmente defectuosa. Deberían haber ido con el formato de dirección de correo electrónico o el formato Jabber de username@service.com. Esto permitiría a los proveedores de correo electrónico existentes ofrecer una identificación sin requerir que el usuario recuerde alguna URL arcana.

Answer 5

No, no creo que OpenID sea un concepto defectuoso.

Si observa el historial de OpenID, originalmente estaba destinado a permitir que las personas para correlacionarse a través de una URL que poseían en los blogs. Esta idea se amplió y se convirtió en el sistema de inicio de sesión único que es hoy.

Diría que OpenID es perfecto para sitios web que no tienen cuentas de usuario para mantener información básica, lo que no se considera vital para el usuario final. Por lo tanto, un sitio de cómics que ayude con las valoraciones de su colección de cómics podría ser un buen ejemplo. Como usuario final de OpenID, puede iniciar sesión en el sitio (sin crear otro nombre de usuario / contraseña, que puede ser diferente a cualquier otro que haya creado debido a los usuarios existentes en el sistema) y verifique cómo trabajan. Si te gusta, entonces puedes seguir usando el sistema normalmente. O, si no está totalmente enamorado del sitio, pero decide consultarlos más tarde, en lugar de tratar de recordar a qué combinación de nombre de usuario y contraseña utilizó para un sitio al que pensó que de lo contrario no podría volver, podría ser frustrante. OpenID aborda ese tipo de situación perfectamente.

Dicho esto, personalmente no usaría OpenID para iniciar sesión en mi cuenta bancaria, debido a muchas cosas que se han dicho sobre la seguridad de las redirecciones. Sin embargo, gran parte de eso está cambiando y hay un gran progreso en el avance de la seguridad de OpenID a través del intercambio de atributos ( especialmente en Japón ).

Otra nota que mucha gente no sabe es que no necesita usar una URL para tener un OpenID, hay una tecnología llamada i-names que se parece más a un nombre de usuario, es decir, mi i-name es " = true " ;, esto puede ser mucho más fácil que escribir algo como " http://true.myopenid.com " ;. Hay un costo de $ 12 por año para i-names individuales, por lo que inicialmente puede ser una barrera para algunas personas, sin embargo, gratis existen alternativas si desea jugar con ellas.

En una última nota, OpenID está promoviendo la idea de la capacidad de descubrimiento (si es una palabra). Es un concepto que parecía estar justo debajo de la superficie. La capacidad de descubrimiento es como las redes sociales a nivel de protocolo si es posible :). Hay toneladas de trabajo en esa área , lo que creo conducirá a mejores implementaciones de OpenID o al menos a la idea de OpenID. Lo que con suerte nos conducirá a una mejor Internet para todos.

Descargo de responsabilidad Estoy en el comité XRI TC y ejecuto una startup centrada en vender y proporcionar servicios en torno a XRI.

FreeXRI no es la startup con la que estoy involucrado.

Answer 6

Google parece pensar que sí. Su reciente entrada en el espacio OpenID, y la bifurcación posterior inmediata del protocolo, tiene dos cosas que decir sobre el tema:

1. OpenID es útil, especialmente cuando está vinculado a sitios con una gran cantidad de usuarios para usar con sitios que podrían admitir una gran cantidad de usuarios y probablemente no los atraerán. ¿Por qué reinventar la rueda en un sistema de autenticación cuando alguien como Google o aquellos que trabajan en OID ya lo tienen cubierto?
2. OpenID en su estado actual es desordenado, ya que las personas ya tienen una gran cantidad de nombres de usuario diferentes con muchos de los proveedores participantes. Sin embargo, muchos usuarios tuvieron una gran oportunidad cuando GMail llegó para obtener su propio nombre como su dirección de correo electrónico y tener un número bastante infinito de cuentas que pueden crear. Google parece pensar que su sistema de cuentas por sí solo es suficiente para todos los usuarios de Open ID. Probablemente estaría de acuerdo con esto.

Answer 7

¿No sería mejor tener este tipo de cosas integradas en el navegador?

Por ejemplo, ingresa sus datos personales en las preferencias del navegador. Luego, un sitio puede solicitar datos personales con una llamada de JavaScript, y el navegador le muestra un cuadro de diálogo pidiéndole confirmación. Por supuesto, la API de JavaScript tendría que estar estandarizada.

De esa forma, el usuario no tiene que registrarse en ningún lado, y toda su información personal se almacena en su propia máquina. Además, los mensajes de confirmación se verían como el resto de su sistema operativo, no solo como un sitio web en el que no puede confiar.

Answer 8

No creo que sea un concepto defectuoso. Simplemente creo que es nuevo, y la gente no está acostumbrada.

Pero OpenID debe usarse en conjunción con un sistema de registro local para que el usuario pueda elegir. Decirle al usuario que vaya a X.com para registrarse y luego regrese a su sitio después, eso es simplemente estúpido y confuso. Pero si el usuario ya tiene una cuenta GMail / AOL / YMail / etc., entonces dejar que la usen es muy útil.

Creo que nosotros, como desarrolladores, deberíamos utilizar formularios de inicio de sesión especializados. Es decir, en lugar de " Ingrese su URL OpenID " debe ser un estándar "ingrese su nombre de usuario" y pueden seleccionar Gmail / AOL / YMail / etc y detrás de escena construimos la URL. La idea de que una URL sea un nombre de inicio de sesión es un poco al revés, por lo que ayudar a las personas con la transición es bienvenido.

Answer 9

Creo que es mejor ser más específico que general con este tipo de preguntas.

A su pregunta, no creo que tenga fallas, pero tiene razón en que puede no ser atractivo para algunos. Sin embargo, una vez que las personas lo entiendan, como lo entienden, entonces pueden llegar a usarlo más. Sin duda, es mejor tener que recordar menos contraseñas, ya que una termina debilitándolas más de lo que deberían ser.

Answer 10

Necesita tener una ID de usuario única en dicho escenario. Otra opción podría ser una dirección de correo electrónico válida, pero ¿qué pasa con el spam entonces?

Por lo tanto, prefiero el ID de usuario basado en URL. Y para mí, la usabilidad con OpenID (en mi caso myOpenId) es excelente.

Answer 11

Creo que algunas de las implementaciones de OpenID dejan mucho que desear.

Imaginé que Yahoo lo haría bien, pero su micro-sitio OpenID (información e implementación) es basura en mi opinión. El diseño es confuso, no dejan en claro cómo open-id se relaciona con una cuenta de Yahoo estándar de los usuarios.

Una vez que descubrí qué pantalla era necesaria para iniciar mi solicitud de inicio de sesión, yahoo emitió una firma OpenID que incluía una cadena aleatoria. Esto no fue aceptado por stackoverflow. Tuve que crear un nuevo alias, que también tenía que ser una opción predeterminada. Sin un deseo igualmente obstinado de resolverlo, creo que muchos usuarios se darían por vencidos.

En mi opinión, deben elaborarse pautas más estrictas para la implementación, y la campaña debe ser muy publicitada para educar a los usuarios potenciales.

¿Quizás la tecnología podría incluirse en la implementación del navegador?

Answer 12

SÍ.

Todavía hay varios inicios de sesión. Tengo que ir e iniciar sesión en mi proveedor de OpenID, luego tengo que ir al sitio e iniciar sesión nuevamente con la URL de OpenID. No quiere hacer más trabajo y OpenID es mucho más trabajo.

No conozco a nadie que no esté en el campo de la computadora que use OpenID. OpenID sigue siendo demasiado complejo. El usuario promedio no necesita ser confundido por otra capa de abstracción.

También existe el problema de rastrear dónde van los usuarios de OpenID. Yo uso VeriSign, un nombre confiable, pero ¿qué pasa con aquellos que usan proveedores menos confiables? No, no voy a nombrar nombres y comenzar una guerra de llamas.

Hay una mejor respuesta, se llama RoboForm ( o una de las muchas imitaciones). Todas las contraseñas y nombres de los usuarios se guardan en su máquina y están encriptados. Es fácil de usar, más seguro y MÁS RÁPIDO.

Answer 13

Creo que hay aspectos de OpenID que plantean problemas de usabilidad para muchos usuarios, pero que probablemente podrían resolverse mediante mejoras en la interfaz de usuario. Por ejemplo, una URL es casi inherentemente inutilizable para la mayoría de los usuarios. Pero no hay ninguna razón que no pueda resumirse, por lo que el usuario simplemente elige a su proveedor e ingresa el nombre de usuario que usa en ese proveedor. Además, tener que ir a una ubicación separada para iniciar sesión es un gran problema de usabilidad, y acertadamente alerta a los usuarios sobre qué datos están proporcionando a quién. Eso será mucho más difícil de resolver.

Answer 14

¿Esto no comprometería eventualmente la identidad de un individuo si es robado o perdido? Esta es mi principal preocupación. El anonimato tiene ventajas y desventajas. Creo en tener ambos. Tengo amigos cercanos que temen unirse a la comunidad de Facebook por el hecho de que es tan abierto que se convierte en un blanco fácil si la base de datos alguna vez es atacada.

Answer 15

No quiero que otro sistema posea mis ID para mis aplicaciones.

Me sale el concepto de más simple para el usuario y más uniforme.

Sin embargo, UserID es tan clave para la experiencia de los visitantes del sitio, que no desea poner todos sus huevos en una sola canasta (Microsoft Passport, OpenID, etc.). Si las cosas cambian, ha estropeado todas sus cuentas de usuario.

Answer 16

El concepto está bien, sin embargo, el diseño permite grandes vulnerabilidades de seguridad ...