OpenID est-il un concept imparfait?

Question

Je ne parle pas d’implémentations spécifiques, je ne parle pas de la vision mondiale des mécanismes d’authentification unique entre sites, je veux simplement savoir ce que la communauté pense de la convivialité sous-jacente d’OpenID. Pensez-vous que l'utilisation d'une adresse URL émise par un assortiment aléatoire de fournisseurs (à l'attention de l'observateur non technique) au lieu d'un nom d'utilisateur réel est quelque chose que les gens vont préférer? Si non, est-ce que quelqu'un a un meilleur mécanisme? Si l'intérêt est suffisant, je poserai une question plus générale sur le SSO.

Answer 1

NON.

Je ne pense pas que ce soit un système fondamentalement défectueux. En termes de facilité d’utilisation, je dirais qu’il est défectueux car c’est un écart par rapport à la norme, et il est plus difficile de s’habituer à l’URL, c’est-à-dire une URL au lieu d’un nom d’utilisateur, qui doit choisir un fournisseur. Mais je pense que ce sont les seuls problèmes et que des mesures peuvent être et sont prises pour les améliorer (réglages d’utilisabilité sur les pages de connexion, Yahoo et Google sensibilisant à l’idée).

Hormis cela, je pense que c'est un excellent système:

• Je me souviens d'une combinaison de mot de passe d'identifiant de compte (je n'ai pas besoin de recourir à des solutions logicielles pour résoudre le problème lié aux nombreux identifiants & mot de passe
• Je n'ai pas besoin de remplir un formulaire lorsque je vais sur un nouveau site Web et d'attendre les courriels d'enregistrement pour le confirmer.
• Si je ne fais pas confiance à un fournisseur OpenID, je peux devenir mon propre fournisseur relativement facilement, ce qui, à mon avis, est une grande réussite pour un standard. Rendre quelque chose d'aussi polyvalent et facile (AFAIK) est pour moi vraiment quelque chose.
• Cela dissocie la responsabilité de créer un site Web du stockage du mot de passe et de la sécurité, lorsque les deux tâches deviennent de plus en plus difficiles.
• Je ne connais pas vraiment grand chose à propos de ce point suivant, mais je pense qu'il est très facile d'utiliser un compte OpenID pour héberger plusieurs personnages, qui peuvent être utilisés pour différents sites Web, par exemple. "C'est mon travail personnel, c'est ce que je présente lorsque je m'inscris à ilovemyjob.com. Et c’est mon ami, je l’utilise pour Facebook " et les différentes personnes ont des informations différentes qui leur sont liées. Comme je le dis, je ne sais pas trop comment cela se fait, ni exactement pourquoi ce serait utile ... mais je découvrirai en quoi cela pourrait être bon.

C’est à peu près tout le bénéfice que je vois avec OpenID. En ce qui concerne les inconvénients, il y a l'aspect convivialité, qui, je l'avoue, pose problème. L’autre principal argument que les gens utilisent pour critiquer OpenID est que, si le compte est compromis, de nombreuses connexions le sont également. À mon avis, cela n’est pas pire que le système actuel qui consiste à avoir des courriels liés à des comptes, qui pourraient être compromis de la même façon et utilisés pour cela "vous avez oublié votre nom d’utilisateur". fonctionner sur de nombreux sites Web. J'aimerais également souligner qu'OpenID n'est pas destiné à résoudre ce problème - c'est une solution au problème de plusieurs identifiants / mots de passe. Cependant, le fait d'avoir un mot de passe donne une plus grande licence pour continuer à le mettre à jour pour plus de sécurité - sans avoir à compter sur un logiciel qui s'en souvient pour vous, ni à oublier tout le temps.

Donc, OpenID a ses problèmes, mais je dirais que c'est une bonne solution au problème de plusieurs identifiants / mots de passe.

Références:
Google Talk intéressant sur le sujet

Answer 2

Oui.

Premièrement, choisir un fournisseur est difficile. Si j'étais un utilisateur moins expérimenté, je lui demanderais "Pourquoi dois-je partager mes informations avec X pour utiliser un site géré par Y?" Et puis, une fois que vous avez surmonté cela, vous devez choisir à qui faire confiance avec vos informations. Personnellement, je suis allé avec Verisign parce que j'ai confiance en Verisign. Toutefois, certaines personnes n’auraient peut-être jamais entendu parler de certains de ces fournisseurs et ne seraient pas en mesure de prendre une décision éclairée.

Deuxièmement, la connexion est difficile. Plutôt que d'entrer un nom d'utilisateur, je dois entrer une URL (bien que StackOverflow facilite la tâche lorsque vous choisissez un fournisseur et le nom d'utilisateur de votre fournisseur, qui crée l'URL pour vous).

Troisièmement, si mon OpenID est compromis, tous les comptes des sites sur lesquels j'utilise OpenID le sont également. Certaines personnes suggèrent d’avoir plusieurs OpenID pour surmonter cela, mais je pense que cela va à l’encontre de l’objet d’OpenID.

Answer 3

Je n'arrive pas à comprendre l'angoisse contre OpenID.

Mon expérience de la connexion à ce site (le seul identifiant ouvert que j'ai eu à traiter) était simple. J'ai vu la chose requise pour OpenID et j'avais une vague idée que la signature de mon site serait déléguée à une autre personne en qui j'avais confiance et avec laquelle j'avais déjà un id. Voici un lien vers le fournisseur de mon fournisseur actuel de messagerie en ligne. Cliquez, suivez un processus assez simple pour que je ne m'en souvienne même pas.

Maintenant que la connexion Open ID est configurée, ce n'est pas plus difficile que n'importe quel autre site avec lequel je traite et la magie est que je n'ai pas eu à ajouter encore un autre compte à un site qui Je ne savais pas que j'allais utiliser à nouveau et j'oublierais probablement le nom d'utilisateur ou le mot de passe correspondant.

J'aime ça, le concept et l'exécution.

Answer 4

Je l'ai déjà dit, et je le répéterai probablement, mais l'idée de l'URL est une idée fondamentalement imparfaite. Ils auraient dû utiliser le format d'adresse de messagerie ou le format Jabber de nomutilisateur@service.com. Cela permettrait aux fournisseurs de messagerie existants d’offrir un identifiant sans demander à l’utilisateur de se souvenir d’une URL mystérieuse.

Answer 5

Non, je ne crois pas qu'OpenID soit un concept imparfait.

Si vous examinez la historique d'OpenID, elle était conçue à l'origine pour permettre aux utilisateurs de se corréler via une URL qu’ils possédaient sur des blogs. Cette idée a été développée et est devenue le système d'authentification unique qu'il est aujourd'hui.

Je dirais qu'OpenID est idéal pour les sites Web ne disposant pas de compte d'utilisateur pour conserver des informations de base, qui ne sont pas considérées comme essentielles pour l'utilisateur final. Ainsi, un site de bandes dessinées facilitant l’évaluation de votre collection de bandes dessinées pourrait constituer un bon exemple. En tant qu'utilisateur final OpenID, vous pouvez vous connecter au site (sans créer un autre nom d'utilisateur / mot de passe , qui peut être différent de tout autre nom créé à cause des utilisateurs existants sur le système) et vérifier comment. ils travaillent. Si vous l'aimez, vous pouvez continuer à utiliser le système normalement. Ou bien, si vous n'êtes pas totalement amoureux du site mais décidez de le consulter plus tard, au lieu d'essayer de vous rappeler le nom d'utilisateur et le mot de passe que vous avez utilisés pour un site sur lequel vous pensiez ne pas pouvoir revenir, cela pourrait être frustrant. OpenID répond parfaitement à ce type de situation.

Cela étant dit, je ne voudrais pas personnellement utiliser OpenID pour me connecter à mon compte bancaire, en raison de nombreuses informations concernant la sécurité des redirections. Cependant, la majeure partie de cette évolution est en train de changer et de grands progrès ont été accomplis dans la sécurité d’OpenID grâce à l’échange d’attributs ( surtout au Japon ).

Une autre remarque que beaucoup de gens ne savent pas, c'est qu'il n'est pas nécessaire d'utiliser une URL pour avoir un OpenID. Il existe une technologie appelée i-names qui ressemble davantage à un nom d'utilisateur, c'est-à-dire que mon i-name est "quot = true", cela peut être beaucoup plus facile que de taper quelque chose comme " http://true.myopenid.com " ;. Chaque i-name coûte 12 dollars par an. Cela peut donc constituer un obstacle pour certaines personnes, mais gratuitement. des alternatives existent si vous souhaitez jouer avec elles.

Enfin, OpenID promeut l’idée de la découvrabilité (s’il s’agit d’un mot). C'est un concept qui semblait être assis juste sous la surface. La découvrabilité, c'est comme les réseaux sociaux au niveau du protocole si vous pouviez :). Il y a des tonnes de travail en cours dans ce domaine , Je pense que cela conduira à de meilleures implémentations d'OpenID ou du moins à l'idée d'OpenID. Ce qui, espérons-le, mènera à un meilleur Internet pour nous tous.

Clause de non-responsabilité Je fais partie du comité TC de XRI et dirige une startup spécialisée dans la vente et la fourniture de services autour de XRI.

FreeXRI n'est pas la startup avec laquelle je suis impliqué.

Answer 6

Google semble le penser. Leur entrée récente dans l’espace OpenID, ainsi que le fork immédiat du protocole, ont deux choses à dire sur le problème:

1. OpenID est utile, en particulier lorsqu'il est lié à des sites avec un très grand nombre d'utilisateurs à utiliser avec des sites pouvant prendre en charge un grand nombre d'utilisateurs et ne les attirant probablement pas. Pourquoi réinventer la roue d’un système d’authentification quand quelqu'un comme Google ou ceux qui travaillent sur OID l'ont déjà couvert?
2. OpenID dans sa version actuelle est désordonné, car les utilisateurs ont déjà un grand nombre de noms d'utilisateur différents auprès de nombreux fournisseurs participants. Cependant, de nombreux utilisateurs ont eu une excellente occasion lorsque GMail est venu chercher leur propre nom comme adresse e-mail et qu'ils pouvaient créer un nombre infini de comptes. Google semble penser que son système de compte est suffisant en soi pour tous les utilisateurs Open ID. Je suis probablement d'accord avec cela.

Answer 7

Ne serait-il pas préférable d'avoir ce genre de chose intégré dans le navigateur?

Par exemple, vous entrez vos données personnelles dans les préférences du navigateur. Ensuite, un site peut demander des données personnelles avec un appel JavaScript, et le navigateur vous affiche une boîte de dialogue vous demandant de confirmer. Bien entendu, il faudrait normaliser l’API JavaScript.

De cette manière, l'utilisateur ne doit s'inscrire nulle part et toutes ses informations personnelles sont stockées sur sa propre machine. De plus, les messages de confirmation ressemblent au reste de votre système d’exploitation, et non à un site Web auquel vous pourriez ne pas faire confiance.

Answer 8

Je ne pense pas que ce soit un concept imparfait. Je pense simplement que c'est nouveau et que les gens n'y sont pas habitués.

Mais OpenID doit être utilisé en conjonction avec un système d'enregistrement local pour que l'utilisateur ait le choix. Dire à l'utilisateur d'aller sur X.com pour s'inscrire, puis revenir sur votre site après - c'est stupide et déroutant. Mais si l’utilisateur a déjà un compte GMail / AOL / YMail / etc, il est très pratique de le laisser utiliser.

Je pense que nous, les développeurs, devrions utiliser des formulaires de connexion spécialisés. Autrement dit, au lieu de "Entrez votre URL OpenID". il devrait s'agir d'un standard "Entrez votre nom d'utilisateur". et ils peuvent sélectionner Gmail / AOL / YMail / etc et en coulisse, nous construisons l'URL. L'idée d'une URL en tant que nom de connexion est un peu en arrière, aider les personnes avec la transition est donc bienvenu.

Answer 9

Pensez qu'il vaut mieux être plus spécifique que général avec ce genre de questions.

En ce qui concerne votre question, je ne pense pas que cela soit défectueux, mais vous avez raison de dire que cela pourrait ne pas plaire à certains. Cependant, une fois que les gens l’ont compris, ils peuvent l’utiliser plus souvent. Il est certainement préférable de se rappeler moins de mots de passe, car on finit par les rendre plus faibles qu’ils ne devraient l’être.

Answer 10

Vous devez avoir un ID utilisateur unique dans un tel szenario. Une autre option pourrait être une adresse e-mail valide, mais alors quoi avec du spam.

Par conséquent, je préfère l’ID utilisateur basé sur une URL. Et pour moi, la convivialité avec OpenID (dans mon cas, myOpenId) est excellente.

Answer 11

Je pense que certaines des implémentations OpenID laissent beaucoup à désirer.

J'imaginais que Yahoo réussirait, mais leur micro-site OpenID (informations et implémentation) est à mon sens stupide. La présentation est déroutante, ils n'indiquent pas clairement le lien entre open-id et un compte yahoo standard d'utilisateur.

Une fois que j'avais déterminé quel écran était nécessaire pour lancer ma demande de connexion, Yahoo a émis une signature OpenID incluant une chaîne aléatoire. Ce n'est pas accepté par stackoverflow. Je devais créer un nouvel alias, qui devait également être une option par défaut. Sans le même désir obstiné de résoudre ce problème, je pense que de nombreux utilisateurs abandonneraient.

À mon avis, des directives plus strictes pour la mise en œuvre doivent être élaborées et la campagne doit faire l'objet d'une large publicité afin d'informer les utilisateurs potentiels.

Peut-être que la technologie pourrait être incluse dans la mise en œuvre du navigateur?

Answer 12

OUI.

Il y a encore plusieurs connexions. Je dois me connecter à mon fournisseur OpenID, puis me rendre sur le site et me reconnecter avec l'URL OpenID. Non veut faire plus de travail et OpenID est beaucoup plus de travail.

Je ne connais personne qui ne soit pas dans le domaine de l'ordinateur qui utilise OpenID. OpenID est encore trop complexe. L'utilisateur moyen n'a pas besoin d'être dérouté par une autre couche d'abstraction.

Il y a aussi la question du suivi des utilisateurs d’OpenID. J'utilise VeriSign, un nom de confiance, mais qu'en est-il de ceux qui utilisent des fournisseurs moins fiables? Non, je ne vais pas nommer des noms et déclencher une guerre des flammes.

Il existe une meilleure réponse, elle s’appelle RoboForm ( ou l'un des nombreux imitations). Tous les mots de passe et noms des utilisateurs sont conservés sur leur ordinateur et chiffrés. Il est facile à utiliser, plus sécurisé et PLUS RAPIDE.

Answer 13

Je pense que certains aspects d'OpenID posent des problèmes de facilité d'utilisation pour de nombreux utilisateurs, mais pourraient probablement être résolus via des améliorations de l'interface utilisateur. Par exemple, une URL est pratiquement inutilisable pour la plupart des utilisateurs. Mais il n'y a aucune raison qui ne puisse pas être abstraite, l'utilisateur choisit simplement son fournisseur et entre le nom d'utilisateur qu'il utilise chez ce fournisseur. En outre, le fait de devoir se connecter à un autre endroit pour se connecter est un énorme problème de convivialité, et il déclenche à juste titre des signaux d'alarme pour les utilisateurs en leur indiquant quelles données ils fournissent à qui. Ce sera beaucoup plus difficile à résoudre.

Answer 14

Cela ne compromettrait-il pas éventuellement l'identité d'une personne volée ou perdue? C'est mon principale préoccupation. L'anonymat présente des avantages et des inconvénients. Je crois en la présence des deux. J'ai des amis proches qui craignent de se joindre à la communauté Facebook parce qu'elle est si ouverte qu'elle devient une cible facile si la base de données est jamais attaquée.

Answer 15

Je ne souhaite pas qu'un autre système possède mes identifiants pour mes applications.

J'obtiens le concept de plus simple pour l'utilisateur et plus uniforme.

Cependant, l’ID utilisateur est si essentiel à l’expérience des visiteurs du site que vous ne souhaitez pas mettre tous vos œufs dans le même panier (Microsoft Passport, OpenID, etc.). Si les choses changent, vous avez gâché tous vos comptes d'utilisateurs.

Answer 16

Le concept est correct, mais sa conception autorise des exploits de sécurité béants ...