Qual è il vantaggio di utilizzare SOLO l'autenticazione OpenID su un sito?

Question

Dalla mia esperienza con OpenID, vedo una serie di svantaggi significativi:

Aggiunge un Singolo punto di guasto al sito
Non si tratta di un guasto che può essere riparato dal sito anche se rilevato.Se il provider OpenID è inattivo per tre giorni, quali risorse ha il sito per consentire ai propri utenti di effettuare il login e accedere alle informazioni di loro proprietà?

Porta un utente al contenuto di un altro sito e ogni volta che accede al tuo sito
Anche se il provider OpenID non presenta errori, l'utente viene reindirizzato al proprio sito per accedere.La pagina di accesso presenta contenuti e collegamenti.Quindi c'è la possibilità che un utente venga effettivamente allontanato dal sito per finire nella tana del coniglio di Internet.

Perché dovrei indirizzare i miei utenti al sito web di un'altra azienda?
[ Nota:il mio provider non lo fa più e sembra aver risolto il problema (per ora).]

Aggiunge una quantità di tempo non banale alla registrazione
Per registrarsi al sito un nuovo utente è costretto a leggere un nuovo standard, scegliere un fornitore e registrarsi.Gli standard sono qualcosa su cui i tecnici dovrebbero accettare per rendere l'esperienza dell'utente senza attriti.Non sono qualcosa che dovrebbe essere imposto agli utenti.

È il sogno di un phisher
OpenID è incredibilmente insicuro e rubare l'ID della persona mentre effettua l'accesso è banalmente facile.[tratto da David Arno Risposta sotto ]

---

Nonostante tutti gli svantaggi, l'unico lato positivo è consentire agli utenti di avere meno accessi su Internet.Se un sito ha optato per OpenID, gli utenti che desiderano tale funzionalità possono utilizzarla.

Quello che vorrei capire è:
Quali vantaggi ottiene un sito per creare OpenID obbligatorio?

Answer 1

L'elenco degli aspetti negativi non comprende quello più ovvio:è il sogno di ogni phisher.OpenID è incredibilmente insicuro e rubare l'ID della persona mentre effettua l'accesso è banalmente facile.

Matt Sheppard però coglie nel segno la risposta: il vantaggio di utilizzare solo OpenID è che comporta meno problemi per il creatore del sito poiché non ci sono nomi utente e password da gestire e non è richiesto alcun codice per la creazione dell'account utente.

Answer 2

Il vantaggio di rendere OpenID obbligatorio è semplicemente che non è necessario scrivere il codice di accesso per il sito Web (oltre all'integrazione OpenID) e non è necessario prendere alcuna precauzione riguardo alla memorizzazione delle password degli utenti, ecc.

Non avere il proprio codice di accesso significa anche non dover affrontare molti problemi di supporto come il ripristino delle password perse, ecc.

Certamente la maggior parte dei tuoi aspetti negativi sono validi, quindi immagino che diventi un compromesso.

Ciò che mi sorprende è che non ci sono più siti che instaurano una stretta relazione con un particolare fornitore OpenID semplicemente per la fase di registrazione dell'account, ad es.una sorta di pagina di accesso "Puoi utilizzare qualsiasi OpenID che preferisci, ma puoi anche crearne uno adesso inserendo nome utente e password, ecc.", che crea automaticamente un nuovo account con il provider selezionato per te.

Answer 3

È un buon modo per esternalizzare una parte della tua infrastruttura.Non devi preoccuparti di password perse ecc., qualcun altro lo farà per te.

Non sono sicuro che lo userei esclusivamente, però.Non ho utilizzato abbastanza OpenID per fidarmi completamente e il processo di registrazione deve essere semplificato fino a quando > 90% degli utenti non avrà un OpenID.

Answer 4

Aggiunge un punto critico al fallimento del sito

Il terzo più alto idea su uservoice per Stackoverflow è consentire la modifica del provider OpenID.E nei commenti c'è il suggerimento di consentire l'associazione più che su OpenID.Sui siti in cui è possibile associare più OpenID a un account, se il tuo solito provider OpenID non è attivo, puoi comunque accedere con un altro provider (supponendo che tu lo abbia già associato al sito).

Inoltre, è solo un punto critico di fallimento per gli utenti del provider OpenID che non funziona.Tutti gli altri utenti di altri provider OpenID possono continuare ad accedervi.Nel corso del tempo ti aspetteresti che gli utenti migrino verso i fornitori più affidabili.

Porta un utente al contenuto di un altro sito e ogni volta che accede al tuo sito

Se hai impostato il tuo provider OpenID in modo che si fidi sempre di un sito (o consumer OpenID nella nomenclatura) e hai già effettuato l'accesso al tuo provider OpenID, ti reindirizzeranno direttamente al sito senza che tu nemmeno veda il sito del tuo provider OpenID.

Aggiunge un periodo di tempo non di prova alla registrazione

Attualmente ciò potrebbe essere vero, ma come ha detto Andyuk, "Questo diventa meno un problema quanto più siti supportano OpenID".Mi aspetto che tra qualche anno la maggior parte degli utenti avrà già un OpenID e saprà di cosa si tratta.

Answer 5

Uno dei grandi vantaggi di utilizzare solo OpenID dal punto di vista ingegneristico è che l'astrazione della parte di autenticazione delle credenziali consente agli utenti di scegliere metodi di autenticazione molto più sofisticati di qualsiasi cosa ti preoccuperesti di creare per il tuo sito.Sì, alcuni provider OpenID sono facilmente soggetti al phishing.Altri utenti OpenID invece accedono con Information Card, token hardware o verifica telefonica, e queste sono credenziali che non può essere catturato e riprodotto da un phisher.

Nel ruolo di Gabe Wachob mettilo:

Le persone che vogliono innovare nei metodi di autenticazione [...] NON devono essere le stesse persone che innovano nell'offrire servizi sul web (qualsiasi persona su un milione che utilizza Mediawiki, Drupal, ecc.).Questo "scollegamento" tra innovazione dell'autenticazione e innovazione del servizio è ciò che ha valore in OpenID.

Pertanto, utilizzando OpenID, puoi offrire ai tuoi utenti metodi di autenticazione più efficaci.L'astrazione ti consente di implementare un'interfaccia e quindi di scegliere qualsiasi fornitore con cui collaborare, indipendentemente dal fatto che utilizzino password di otto caratteri in testo non crittografato o impianti neurali con risposta alla sfida.

Answer 6

Incoraggia gli utenti a registrarsi su OpenID, a saperne di più e, si spera, a evangelizzarlo da soli.

Stack Overflow dimostra che solo il supporto di OpenID può funzionare.

"Aggiunge un punto critico in caso di errore al sito"

Nel caso in cui un provider OpenID non funzioni, il sito dovrebbe disporre di un meccanismo per consentire agli utenti di accedere e aggiungere/modificare i provider OpenID.Forse il sito potrebbe inviare via email un collegamento temporaneo per aggirare la sicurezza in modo che gli utenti possano accedere al proprio account.

"Porta un utente al contenuto di un altro sito e ogni volta che accede al tuo sito"

Il mio provider OpenID mi consente di considerare attendibile un determinato sito Web, quindi non ho nemmeno bisogno di visualizzare il loro sito Web.

"Aggiunge un periodo di tempo non di prova alla registrazione"

Ciò diventa meno problematico quanto più siti supportano OpenID.

Answer 7

Come sviluppatore web, sono un grande fan dell'idea di OpenID.Scrivere il codice di autenticazione è una seccatura.Come utente web, sono un grande fan di OpenID, per usi non critici come SO, forum, ecc., perché una volta ottenuto l'ID, è un modo molto semplice per unirsi a un sito.

Penso che, a parte alcune eccezioni, come una comunità per sviluppatori, al momento non sia possibile forzare solo OpenID.L'utente web "medio" (qualunque cosa significhi) non lo capisce.Tuttavia, promuoverlo in un sito come questo aumenta la consapevolezza tra gli sviluppatori e l'idea alla fine si diffonderà.Man mano che OpenID appare su sempre più siti, le persone lo guarderanno, si renderanno conto di averne uno e inizieranno a usarlo.Affinché OpenID, che è un'ottima idea, possa prendere piede, è necessaria una massa critica di utenti e siti che lo supportino.

Alla fine, tutto sarà semplicemente "così com'è" e ci chiederemo perché mai abbiamo creato un codice di autenticazione per ogni singolo sito web che abbiamo creato, o perché dovremmo creare un'identità unica ovunque andassimo sul Web.

Answer 8

Come discusso in uno dei podcast, si aggiunge una barriera all'ingresso per il vagabondo che si chiede se questo potrebbe essere il posto in cui dovrebbero pubblicare il proprio Yahoo!Risposte alla domanda.

È un po' elitario, ma dato il focus di questo sito in particolare è abbastanza accettabile allontanare chiunque non riesca a capire il processo Open ID, e chiunque abbia davvero una domanda reale a cui ha bisogno di una risposta può prendersi la briga di risolvere qualsiasi lieve difficoltà.

Answer 9

Dalla mia esperienza con OpenID, vedo una serie di vantaggi significativi:

Se scegli di accedere con il tuo provider OpenID di fiducia, ad es.Verisign PIP+VIP puoi sfruttare i vantaggi dei meccanismi di autenticazione SecureID fuori banda.Questo dovrebbe essere visto come il vantaggio principale che supera TUTTI gli altri.Non ti fidi più di qualunque pessima autenticazione basata su moduli sia presente sul sito a cui accedi, ti fidi di Verisign VIP o qualunque sia la tua scelta di provider OpenID.

La tana del coniglio di Internet?Sembra una cattiva implementazione e io per primo non so a cosa ti riferisci.

Non è possibile rubare facilmente i dettagli di autenticazione, può essere reso più vicino all'impossibile di quello che già abbiamo!Potresti riuscire a indurmi a pensare che sto contattando il mio provider, ma Verisign per esempio ha un'opzione per non consentire o accettare reindirizzamenti.Considero anche questi problemi di phishing qualcosa di banale, soprattutto se confrontati con i vantaggi dei meccanismi di autenticazione fuori banda che puoi ottenere tramite il tuo provider di autenticazione OpenID.Quindi supponiamo che tu abbia effettuato un phishing dei dettagli della chiave RSA una volta, non sarebbe valido la volta successiva o forse sarebbe semplicemente totalmente inutile se dicessi di utilizzare un certificato del browser.

In conclusione, OpenID è solo l'evoluzione del sistema attuale, un indirizzo email con cui verificare.Se il tuo account e-mail è il tuo attuale singolo punto di errore, allora sì, il tuo OpenID potrebbe essere il tuo nuovo singolo punto di errore nel caso in cui l'OpenID che controlli non sia più sotto il tuo controllo.Pertanto, se ti fidi solo del tuo server di posta elettronica, ospita semplicemente il tuo URL OpenID.Se ti fidi di Gmail, utilizza un URL Gmail per il tuo OpenID perché, per lo stesso motivo, ti fidi già di Gmail come SSO poiché il tuo account Gmail può infine recuperare le password del tuo account.

È un gioco da ragazzi, ma vedo che alcune persone potrebbero avere difficoltà a comprendere i concetti di base dei meccanismi di autenticazione.Se POSSO accedere con la mia carta SecureID (tramite il mio provider OpenID) a un sito su cui ho un account, LO FAREI.Quindi, se fosse l'unica opzione, la prenderei!

Answer 10

Aggiunge un punto critico in caso di errore al sito

Quel punto critico di errore potrebbe essere l'e-mail di conferma che invii, ma la casella di posta dell'utente è a) non disponibile a causa di un errore di battitura, b) piena o c) il provider è "inattivo".

Porta un utente al contenuto di un altro sito e ogni volta che accede al tuo sito

Lo vedo, ma IMHO non è poi così male.Voglio dire, Y!sembra essere uno degli accessi più disordinati e inoltre non funziona mai per me.;) A parte questo, la maggior parte dei provider OpenID non sembra (ancora) così male.

Inoltre, tieni a mente il tuo pubblico.Se mamma e papà sono i tuoi utenti, OpenID probabilmente crea molta confusione.Ma probabilmente lo è anche molto su Internet.Nel caso di SO, le persone sono utenti piuttosto esperti e sanno cosa vogliono.

Aggiunge un periodo di tempo non di prova alla registrazione

Questo non è un problema.Guarda l'elenco dei fornitori:http://openid.net/get/

Così tante persone hanno almeno un Yahoo!conto, quindi se ha funzionato davvero.Non sarebbe così male.Sono d'accordo però che se un utente non ha OpenID e non sa a cosa serve.Non è così facile educarli.

E pensa alle implicazioni: "per registrarti al sito A, devi registrarti al sito B".E sappiamo tutti che registrarsi di per sé è una seccatura.Ma a lungo termine, questo è esattamente ciò che OpenID cerca di affrontare.

Nel mainstream, attualmente non vedo alcun valore nel rendere OpenID obbligatorio.Mi piace però come componente aggiuntivo.Il modo in cui le persone forniscono collegamenti per "accedi con Facebook", ecc.Quindi le persone che non capiscono (o non si preoccupano) non hanno bisogno di preoccuparsi.Ma altri possono ancora usarlo.

Answer 11

OpenID potrebbe essere la cosa più bella dopo il pane a fette, ma non mi è stato dato alcun motivo per fidarmi di "loro" con la mia identità - a parte il fatto che Jeff Atwood/Joel Spolsky me lo hanno fatto fare per essere qui a lamentarmene ;-)

Answer 12

C'è anche una cosa da menzionare.Hai già una base utenti con OpenID, devono solo effettuare il login.

Answer 13

Sono a favore di OpenID, principalmente dal punto di vista della facilità d'uso.Devo ancora convincermi della sua sicurezza, ma ha molto potenziale.Ci sono molte cose che si potrebbero dire a riguardo, ma volevo solo rispondere ai seguenti due punti:

Aggiunge un periodo di tempo non banale alla registrazione

Solo la prima volta che viene configurato.Inoltre, con aziende come Yahoo che ora forniscono supporto, molte persone non dovranno nemmeno preoccuparsi di impostare un OpenID se non lo desiderano.Se utilizzassi Google o qualcuno simile come fornitore OpenID, li considereresti intrinsecamente insicuri?E quanto spesso ti aspetteresti che abbiano tempi di inattività?

È il sogno di un phisher

Accetto che questo possa essere in parte vero.Ma il phishing non è forse più un problema sociale che tecnologico?OpenID potrebbe renderlo più semplice, ma ciò non elimina il fatto che il vero problema è l'utente.È molto più importante rendere gli utenti consapevoli di come operano i phisher piuttosto che cercare di proteggerli attraverso la tecnologia.

Answer 14

Almeno OpenID ti invia al tuo provider OpenID per accedere.
Stavo leggendo un blog su blogspot e c'è un collegamento per seguire questo blog (presumibilmente avvisami quando ci sono nuovi post) per farlo viene visualizzata una finestra che richiede il mio nome utente e la mia password Gmail.

Anche supponendo che si tratti di un sito autentico e non di phishing, ora (potenzialmente) hanno l'accesso al mio Gmail, ai miei documenti Google, alle mie applicazioni Google, a tutto!

Answer 15

Il vantaggio principale di avere un OpenID si vedrà nel lungo termine.Invece di dover richiedere un'identità a siti diversi, puoi farlo una volta e poi usarlo su tutti i siti che richiedono un'identità univoca.Naturalmente per siti sicuri come quelli bancari e commerciali sarà necessario un tipo di pensiero completamente diverso.Ma per i siti di social network e simili puoi usarlo facilmente.

Anche mamma e papà lo troveranno facile perché ora dovranno ricordare solo un nome utente/password.Molte volte è difficile per noi ricordare quale login abbiamo e per quale sito, e finiamo per utilizzare il nome utente/password corretti del Sito A sul Sito B.OpenID lo risolverà.Inoltre è un buon modello di entrate per un fornitore e un utente OpenID.Posso inserire in uno di questi fornitori tutti i dettagli che sono disposto a fornire e con ogni dettaglio che fornisco posso guadagnare denaro.

Forse il fornitore può convincermi a dirgli di più su di me usandolo come incentivo, che può poi vendere ai siti con cui mi registro.Quindi il sito A paga OpenID per le mie informazioni.OpenID poi me ne trasmette una parte.Il sito A non deve gestire gli utenti, OpenID ottiene denaro, l'utente riceve denaro, tutti sono felici :)

In questo modo non dovrai rendere OpenID obbligatorio.Le persone stesse lo vorranno.I fornitori di OpenID competeranno quindi tra loro per fornire servizi migliori e dove c’è concorrenza ci sarà un valore migliore fornito a tutti gli interessati.Penso che sia un'idea favolosa.

Modificare: Per quanto riguarda i tempi di inattività presso un particolare fornitore;se il fornitore OpenID A non è sicuro di fornire un tempo di attività del 100%, può richiedere l'aiuto di un altro fornitore B e l'utente del fornitore A può scegliere tra le opzioni fornite dal fornitore A.Il sito che si rivolge al provider A per autenticare un utente saprà a quali altri provider rivolgersi nel caso in cui il provider A non funzioni.Questo verrà memorizzato automaticamente nel suo database al primo accesso.Qualcuno vuole fare un brainstorming sui dettagli di implementazione?:)