Quel est l’avantage d’utiliser UNIQUEMENT l’authentification OpenID sur un site ?
https://stackoverflow.com/questions/60436
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
D'après mon expérience avec ID ouvert, je vois un certain nombre d'inconvénients importants :
Ajoute un Point de défaillance unique au site
Ce n'est pas une panne qui peut être corrigée par le site même si elle est détectée.Si le fournisseur OpenID est indisponible pendant trois jours, de quel recours dispose le site pour permettre à ses utilisateurs de se connecter et d'accéder aux informations qu'ils possèdent ?
Amène un utilisateur vers le contenu d'un autre site et chaque fois qu'il se connecte à votre site
Même si le fournisseur OpenID n'a pas d'erreur, l'utilisateur est redirigé vers son site pour se connecter.La page de connexion contient du contenu et des liens.Il est donc possible qu'un utilisateur soit réellement éloigné du site pour se rendre dans le terrier d'Internet.
Pourquoi voudrais-je diriger mes utilisateurs vers le site Web d’une autre entreprise ?
[ Note:mon fournisseur ne le fait plus et semble avoir résolu ce problème (pour l'instant).]
Ajoute une durée non négligeable à l'inscription
Pour s'inscrire sur le site, un nouvel utilisateur est obligé de lire une nouvelle norme, de choisir un fournisseur et de s'inscrire.Les normes sont quelque chose que les techniciens doivent accepter afin de rendre l'expérience utilisateur fluide.Ce n’est pas quelque chose qui devrait être imposé aux utilisateurs.
C'est le rêve d'un phisher
OpenID n'est incroyablement pas sécurisé et voler l'identité d'une personne lors de sa connexion est extrêmement simple.[ tiré de David Arno Répondre ci-dessous ]
Malgré tous les inconvénients, le seul avantage est de permettre aux utilisateurs d'avoir moins de connexions sur Internet.Si un site a opté pour OpenID, les utilisateurs qui souhaitent cette fonctionnalité peuvent l'utiliser.
Ce que j'aimerais comprendre c'est :
Quel avantage un site obtient-il pour créer OpenID obligatoire?
La solution
La liste des inconvénients oublie le plus évident :c'est le rêve d'un phisher.OpenID n'est incroyablement pas sécurisé et voler l'identité d'une personne lors de sa connexion est extrêmement simple.
Matt Sheppard met cependant le doigt sur la réponse : l'avantage d'utiliser uniquement OpenID est que cela implique moins de tracas pour le créateur du site car il n'y a pas de nom d'utilisateur ni de mot de passe à gérer et aucun code de création de compte utilisateur n'est requis.
Autres conseils
L'avantage de rendre OpenID obligatoire est simplement que le code de connexion pour le site Web n'a pas besoin d'être écrit (au-delà de l'intégration OpenID), et aucune précaution ne doit être prise concernant le stockage des mots de passe des utilisateurs, etc.
Ne pas avoir votre propre code de connexion signifie également ne pas avoir à faire face à de nombreux problèmes d'assistance tels que la réinitialisation des mots de passe perdus, etc.
Certes, la plupart de vos inconvénients sont valables, donc je suppose que cela devient un compromis.
Ce qui me surprend, c'est qu'il n'y a pas plus de sites nouant une relation étroite avec un fournisseur OpenID particulier au simple stade de l'inscription au compte - c'est-à-direune sorte de page de connexion « Vous pouvez utiliser n'importe quel OpenID de votre choix, mais vous pouvez également en créer un dès maintenant en entrant un nom d'utilisateur et un mot de passe, etc. », qui crée automatiquement un nouveau compte auprès du fournisseur sélectionné pour vous.
C'est un bon moyen d'externaliser une partie de votre infrastructure.Vous n'avez pas à vous soucier de la perte de mots de passe, etc., quelqu'un d'autre le fait pour vous.
Cependant, je ne suis pas sûr de l'utiliser exclusivement.Je n'ai pas suffisamment utilisé OpenID pour lui faire entièrement confiance, et le processus d'inscription doit être rationalisé jusqu'à ce que > 90 % des utilisateurs disposent d'un OpenID.
Ajoute un point critique d'échec au site
Le troisième plus haut idée sur uservoice pour Stackoverflow est d'autoriser le changement de fournisseur OpenID.Et dans les commentaires, il y a la suggestion d'autoriser l'association plus que sur OpenID.Sur les sites où plusieurs OpenID peuvent être associés à un compte, si votre fournisseur OpenID habituel est en panne, vous pouvez toujours vous connecter avec un autre fournisseur (en supposant que vous l'ayez déjà associé au site).
De plus, il ne s'agit que d'un point de défaillance critique pour les utilisateurs du fournisseur OpenID qui ne fonctionne pas.Tous les autres utilisateurs d'autres fournisseurs OpenID peuvent continuer à le connecter.Au fil du temps, on pourrait s'attendre à ce que les utilisateurs migrent vers les fournisseurs les plus fiables.
Amène un utilisateur vers le contenu d'un autre site et chaque fois qu'il se connecte à votre site
Si vous avez configuré votre fournisseur OpenID pour qu'il fasse toujours confiance à un site (ou à un consommateur OpenID dans la nomenclature) et que vous êtes déjà connecté à votre fournisseur OpenID, il vous redirigera directement vers le site sans même que vous voyiez le site de votre fournisseur OpenID.
Ajoute une durée sans essai à l'inscription
Actuellement, cela est peut-être vrai, mais comme l'a dit Andyuk, "cela devient moins problématique à mesure qu'il y a de sites prenant en charge OpenID".Je m'attendrais à ce que dans quelques années, la plupart des utilisateurs auront déjà un OpenID et sauront de quoi il s'agit.
L'un des grands avantages de l'utilisation d'OpenID uniquement du point de vue de l'ingénierie est que l'abstraction de l'élément d'identification et d'authentification permet aux utilisateurs de choisir des méthodes d'authentification beaucoup plus sophistiquées que celles que vous prendriez la peine de créer pour votre site.Oui, certains fournisseurs OpenID sont facilement hameçonnés.D'un autre côté, d'autres utilisateurs OpenID se connectent avec des cartes d'information, des jetons matériels ou une vérification téléphonique, et ce sont des informations d'identification qui ne peut pas être capturé et rejoué par un phisher.
Dans le rôle de Gabe Wachob Mets-le:
Les personnes qui souhaitent innover dans les méthodes d'authentification [...] ne doivent PAS nécessairement être les mêmes qui innovent dans l'offre de services sur le Web (l'une des millions de personnes qui utilisent Mediawiki, Drupal, etc.).Cette « dissociation » entre l’innovation en matière d’authentification et l’innovation en matière de services est ce qui est précieux dans OpenID.
Ainsi, en utilisant OpenID, vous pouvez proposer à vos utilisateurs des méthodes d’authentification plus solides.L'abstraction vous permet d'implémenter une interface, puis de choisir n'importe quel fournisseur avec lequel travailler, qu'il utilise des mots de passe à huit caractères en texte clair ou des implants neuronaux à défi-réponse.
Il encourage les utilisateurs à s'inscrire à OpenID, à en savoir plus et, espérons-le, à l'évangéliser eux-mêmes.
Stack Overflow prouve que la simple prise en charge d'OpenID peut fonctionner.
"Ajoute un point critique d'échec au site"
Dans le cas où un fournisseur OpenID ne fonctionnerait pas, le site devrait disposer d'un mécanisme permettant aux utilisateurs de se connecter et d'ajouter/modifier des fournisseurs OpenID.Peut-être que le site pourrait envoyer par courrier électronique un lien temporaire pour contourner la sécurité afin que les utilisateurs puissent accéder à leur compte.
"Amène un utilisateur vers le contenu d'un autre site et chaque fois qu'il se connecte à votre site"
Mon fournisseur OpenID me permet de faire confiance à un site Web donné, je n'ai donc même pas besoin de consulter leur site Web.
"Ajoute une durée hors essai à l'inscription"
Cela devient moins problématique à mesure qu’il y a de sites prenant en charge OpenID.
En tant que développeur Web, je suis un grand fan de l'idée d'OpenID.Écrire du code d’authentification est un véritable casse-tête.En tant qu'internaute, je suis un grand fan d'OpenID - pour des utilisations non critiques comme SO, forums, etc - car une fois que vous avez l'identifiant, c'est un moyen très simple de rejoindre un site.
Je pense qu'en dehors de quelques exceptions - comme une communauté de développeurs - pour le moment, vous ne pouvez pas forcer uniquement OpenID.L’internaute « moyen » (quoi que cela signifie) ne comprend pas.Cependant, en faire la promotion sur un site comme celui-ci sensibilise les développeurs, et l’idée finira par se répandre.À mesure qu'OpenID apparaît sur de plus en plus de sites, les gens le consultent, se rendent compte qu'ils en ont un, puis commencent à l'utiliser.Pour qu’OpenID – qui est une excellente idée – réussisse, il doit y avoir une masse critique d’utilisateurs et de sites le prenant en charge.
Finalement, ce sera simplement "comme c'est", et nous nous demanderons pourquoi nous avons créé un code d'authentification pour chaque site Web que nous avons créé, ou pourquoi nous créions une identité unique partout où nous allions sur le Web.
Comme indiqué dans l'un des podcasts, cela ajoute une barrière à l'entrée du vagabond en se demandant si c'est là qu'il devrait publier son compte Yahoo!Répond à la question.
C'est quelque peu élitiste, mais étant donné l'objectif de ce site Web en particulier, il est tout à fait acceptable de refuser quiconque ne comprend pas le processus Open ID, et quiconque a vraiment une vraie question à laquelle il souhaite répondre peut être dérangé pour répondre à n'importe quelle question. légère difficulté.
D’après mon expérience avec OpenID, je vois un certain nombre d’avantages significatifs :
Si vous choisissez de vous connecter avec votre fournisseur OpenID de confiance, par exemple.Verisign PIP+VIP vous permet de bénéficier des mécanismes d'authentification SecureID hors bande.Cela doit être considéré comme le principal avantage qui l’emporte sur TOUS les autres.Vous ne faites plus confiance à l'authentification merdique basée sur un formulaire sur le site auquel vous accédez, vous faites confiance à Verisign VIP ou quel que soit votre choix de fournisseur OpenID.
Le terrier du lapin sur Internet ?Cela ressemble à une mauvaise mise en œuvre et pour ma part, je ne sais pas à quoi vous faites référence.
Vous ne pouvez pas voler facilement les informations d’authentification, cela peut être rendu plus impossible que ce que nous avons déjà !Vous pourrez peut-être me faire croire que je contacte mon fournisseur, mais Verisign, pour sa part, a la possibilité de ne pas autoriser ou accepter les redirections.Je considère également ces problèmes de phishing comme quelque chose d'insignifiant, surtout si vous les comparez aux avantages des mécanismes d'authentification hors bande que vous pouvez obtenir via votre fournisseur d'authentification OpenID.Supposons donc que vous ayez hameçonné les détails de la clé RSA une fois, ils ne seraient pas valides la prochaine fois ou peut-être tout simplement totalement inutiles si vous deviez utiliser un certificat de navigateur.
En conclusion, OpenID n'est que l'évolution du système actuel, une adresse e-mail à vérifier.Si votre compte de messagerie est votre point de défaillance unique actuel, alors oui, votre OpenID pourrait être votre nouveau point de défaillance unique dans le cas où l'OpenID que vous contrôlez n'est plus sous votre contrôle.Ainsi, si vous ne faites confiance qu’à votre serveur de messagerie, hébergez simplement votre propre URL OpenID.Si vous faites confiance à Gmail, utilisez une URL Gmail pour votre OpenID car, du même coup, vous faites déjà confiance à Gmail comme SSO, car votre compte Gmail peut finalement récupérer les mots de passe de votre compte.
Cela va de soi, mais je constate que certaines personnes peuvent avoir des difficultés à comprendre les concepts de base des mécanismes d'authentification.Si je PEUX me connecter avec ma carte SecureID (via mon fournisseur OpenID) à un site sur lequel j'ai un compte, je LE FERAIS.Alors si c'était la seule option, je la prendrai !
Ajoute un point critique d'échec au site
Ce point critique de défaillance pourrait être l'e-mail de confirmation que vous envoyez, mais la boîte aux lettres de l'utilisateur est a) indisponible en raison d'une faute de frappe, b) pleine ou c) le fournisseur est « en panne ».
Amène un utilisateur vers le contenu d'un autre site et chaque fois qu'il se connecte à votre site
Je peux le voir, mais à mon humble avis, ce n'est pas si mal.Je veux dire, Y !semble être l'une des connexions les plus encombrées et cela ne fonctionne jamais non plus pour moi.;) À part, la plupart des fournisseurs OpenID n'ont pas (encore) l'air si mal.
Gardez également votre public à l’esprit.Si maman et papa sont vos utilisateurs, OpenID est probablement très déroutant.Mais c’est probablement aussi le cas sur Internet.Dans le cas de SO, les gens sont des utilisateurs quelque peu avertis et savent ce qu'ils veulent.
Ajoute une durée sans essai à l'inscription
C'est un faux problème.Regardez la liste des prestataires :http://openid.net/get/
Tant de gens possèdent au moins un compte Yahoo!compte, donc si cela a réellement fonctionné.Ce ne serait pas si mal.Je suis cependant d'accord si un utilisateur n'a pas OpenID et ne sait pas à quoi cela sert.Ce n'est pas si facile de les éduquer.
Et réfléchissez à l'implication : « pour vous inscrire sur le site A, vous devez vous inscrire sur le site B ».Et nous savons tous que s’inscrire en soi est une véritable plaie.Mais à long terme, c’est aussi exactement ce à quoi OpenID tente de répondre.
Dans le courant dominant, je ne vois actuellement aucune valeur à rendre OpenID obligatoire.Je l'aime bien en tant que module complémentaire.Juste comment les gens fournissent des liens pour « se connecter avec votre Facebook », etc.Ainsi, les gens qui ne comprennent pas (ou qui s’en moquent) n’ont pas besoin de s’en soucier.Mais d’autres peuvent encore l’utiliser.
OpenID est peut-être la meilleure chose depuis le pain tranché, mais on ne m'a donné aucune raison de leur confier mon identité - à part Jeff Atwood/Joel Spolsky qui m'a obligé à le faire pour être ici pour m'en plaindre ;-)
Une chose à mentionner également.Vous disposez déjà d’une base d’utilisateurs avec OpenID, il leur suffit de se connecter.
Je suis favorable à OpenID, principalement du point de vue de la facilité d'utilisation.Je ne suis toujours pas convaincu de sa sécurité, mais il a beaucoup de potentiel.Il y a beaucoup de choses à dire à ce sujet, mais je voulais juste répondre aux deux points suivants :
Ajoute un temps non trivial à l'inscription
Seulement la première fois qu'il est configuré.De plus, avec des sociétés comme Yahoo qui fournissent désormais une assistance, de nombreuses personnes n'auront même pas à se soucier de configurer un OpenID s'ils ne le souhaitent pas.Si vous utilisiez Google ou une personne similaire comme fournisseur OpenID, les considéreriez-vous comme intrinsèquement non sécurisés ?Et à quelle fréquence vous attendez-vous à ce qu’ils aient des temps d’arrêt ?
C'est le rêve d'un phisher
J'accepte que cela puisse être en partie vrai.Mais le phishing n’est-il pas plus un problème social que technologique ?OpenID pourrait rendre les choses plus faciles, mais cela n'élimine pas le fait que le véritable problème est l'utilisateur.Il est bien plus important de sensibiliser les utilisateurs au fonctionnement des phishers plutôt que d'essayer de les protéger grâce à la technologie.
Au moins OpenID vous envoie à votre fournisseur OpenID pour vous connecter.
Je lisais un blog sur blogspot et il y a un lien pour suivre ce blog (vraisemblablement, dites-moi quand il y a de nouveaux articles). Pour ce faire, une boîte de dialogue apparaît me demandant mon nom d'utilisateur et mon mot de passe Gmail.
Même en supposant qu'il s'agit d'un site authentique et non d'un site de phishing - ils ont désormais (potentaillement) la connexion à mon Gmail, mes documents Google, mes applications Google - tout !
Le principal avantage d’avoir un OpenID se verra sur le long terme.Au lieu de devoir demander une identité à différents sites, vous le faites une fois, puis vous l'utilisez sur tous les sites qui nécessitent une identité unique.Bien sûr, pour les sites sécurisés comme les banques et le trading, il faudra une réflexion complètement différente.Mais pour les sites de réseaux sociaux et autres, vous pouvez l'utiliser facilement.
Maman et papa trouveront également cela facile car ils ne doivent désormais retenir qu'un seul nom d'utilisateur/mot de passe.Bien souvent, il nous est difficile de nous rappeler quel identifiant nous avons sur quel site et nous finissons par utiliser le bon nom d'utilisateur/mot de passe du site A sur le site B.OpenID résoudra ce problème.De plus, c'est un bon modèle de revenus pour un fournisseur et un utilisateur OpenID.Je peux communiquer à l'un de ces fournisseurs tous les détails que je suis prêt à donner et chacun de ces détails que je donne, je peux gagner de l'argent.
Peut-être que le fournisseur peut me persuader d'en dire plus sur moi en utilisant cela comme une incitation, qu'il pourra ensuite vendre aux sites sur lesquels je m'inscris.Le site A paie donc OpenID pour mes informations.OpenID m'en transmet ensuite une partie.Le site A n'a pas à gérer les utilisateurs, OpenID gagne de l'argent, l'utilisateur reçoit de l'argent, tout le monde est content :)
De cette façon, vous n’aurez pas à rendre OpenID obligatoire.Les gens eux-mêmes le voudront.Les fournisseurs OpenID se feront alors concurrence pour fournir de meilleurs services, et là où il y a concurrence, une meilleure valeur sera offerte à toutes les personnes concernées.Je pense que c'est une idée fabuleuse.
Modifier: Concernant les temps d'arrêt chez un fournisseur particulier ;si le fournisseur OpenID A n'est pas sûr de fournir une disponibilité à 100 %, il peut faire appel à l'aide d'un autre fournisseur B, et l'utilisateur du fournisseur A peut choisir parmi les options proposées par le fournisseur A.Le site qui s'adresse au fournisseur A pour authentifier un utilisateur saura vers quels autres fournisseurs s'adresser au cas où le fournisseur A ne fonctionnerait pas.Celui-ci sera automatiquement stocké dans sa base de données lors de la première connexion.Quelqu'un veut-il réfléchir aux détails de la mise en œuvre ?:)
