OpenID è un concetto imperfetto?

Question

Non sto chiedendo implementazioni specifiche, non sto chiedendo la visione del mondo globale dei meccanismi di single sign on cross site, voglio solo sapere cosa pensa la community della fruibilità di base di OpenID. Pensi che usare un URL emesso da un (casuale osservatore non tecnico) un assortimento casuale di fornitori al posto di un nome utente reale sia qualcosa che le persone preferiranno? In caso contrario, qualcuno ha un meccanismo migliore? Se c'è abbastanza interesse, seguirò con una domanda SSO più generale.

Answer 1

NO.

Non penso che sia un sistema fondamentalmente difettoso. In termini di usabilità direi che è imperfetto in quanto è una deviazione dalla norma e più difficile abituarsi, ad esempio URL anziché un nome utente, dovendo scegliere un provider. Ma penso che siano gli unici problemi, e le cose possono essere e vengono fatte per migliorarle (modifiche dell'usabilità nelle pagine di accesso, Yahoo e Google sensibilizzano all'idea).

A parte questo, penso che sia un ottimo sistema:

• Ricordo una combinazione di password ID account (non ho bisogno di affidarmi a soluzioni software per i numerosi problemi con password ID- >)
• Non ho bisogno di compilare un modulo quando vado su un nuovo sito Web e aspetto le e-mail di registrazione per confermarlo.
• Se non mi fido di un fornitore OpenID, posso diventare il mio fornitore relativamente facilmente, che personalmente ritengo sia un grande risultato per uno standard. Rendere qualcosa di così versatile e (AFAIK) facile per me è davvero qualcosa.
• Disaccoppia la responsabilità di creare un sito Web dall'archiviazione e dalla sicurezza delle password, quando entrambi i lavori stanno diventando sempre più difficili.
• In realtà non so molto su questo prossimo punto, ma penso che sia molto facile usare un account OpenID per ospitare più persone, che può essere utilizzato per diversi siti Web, ad es. " questa è la mia persona di lavoro, questo è ciò che presento quando mi iscrivo a ilovemyjob.com. E questa è la mia amica, la uso per Facebook " e le diverse persone hanno informazioni diverse legate a loro. Come ho detto, non so molto su come è fatto, o esattamente sul perché sarebbe utile ... ma scoprirò a cosa potrebbe essere utile.

Ecco i principali vantaggi che vedo con OpenID. In termini di svantaggi, c'è l'aspetto dell'usabilità, che ammetto sia un problema. L'altro principale punto che le persone usano per criticare OpenID è che se l'account è compromesso, molti accessi sono compromessi. A mio avviso, questo non è peggio dell'attuale sistema di e-mail legate agli account, che potrebbe essere similmente compromesso e utilizzato per questo "ho dimenticato il tuo nome utente"? funzione su molti siti Web. Vorrei anche sottolineare che OpenID non è pensato per risolvere quel problema: è una soluzione al problema ID multiplo / password. Tuttavia, avere una password offre una licenza maggiore per continuare ad aggiornarla per una maggiore sicurezza, senza dover fare affidamento sul software per ricordarla per te o dimenticarti continuamente.

Quindi OpenID ha i suoi problemi, ma direi che è una buona soluzione al problema ID multiplo / password.

Riferimenti:
Google Talk interessante sull'argomento

Answer 2

Sì.

Innanzitutto, scegliere un provider è difficile. Se fossi un utente meno esperto, chiederei " perché devo condividere le mie informazioni con X per utilizzare un sito gestito da Y? & Quot; E poi, una volta superato questo, devi scegliere chi fidarti delle tue informazioni. Personalmente, sono andato con Verisign perché mi fido di Verisign. Ma alcune persone potrebbero non aver mai sentito parlare di alcuni di questi fornitori e non sarebbero in grado di prendere una decisione informata.

In secondo luogo, l'accesso è difficile. Invece di inserire un nome utente, devo inserire un URL (anche se StackOverflow semplifica la scelta del provider e il nome utente del provider e rende l'URL per te).

In terzo luogo, se il mio OpenID è compromesso, anche tutti gli account sui siti su cui utilizzo OpenID sono compromessi. Alcune persone suggeriscono di avere più OpenID per ovviare a questo, ma penso che sconfigga l'intero scopo di OpenID.

Answer 3

Non riesco a capire l'angoscia contro OpenID.

La mia esperienza con l'accesso a questo sito (certamente l'unico ID aperto che ho dovuto affrontare) è stata semplice. Ho visto la cosa richiesta da OpenID e ho avuto una vaga comprensione del fatto che il mio accesso al sito sarebbe stato delegato a qualcun altro di cui mi fidavo e con cui avevo già un ID. In fondo, c'era un link al provider del mio attuale provider di posta elettronica online. Fai clic, segui un processo abbastanza semplice da non ricordare nemmeno di averlo fatto.

Ora che la connessione con ID aperto è impostata, non è più difficile di qualsiasi altro sito con cui mi occupo e la magia è che non ho dovuto aggiungere ancora un altro account a un sito che Non avevo idea che avrei usato mai più e probabilmente avrei dimenticato il nome utente o la password per.

Mi piace, il concetto e l'esecuzione.

Answer 4

L'ho già detto prima, e probabilmente lo dirò di nuovo, ma l'idea dell'URL è fondamentalmente imperfetta. Avrebbero dovuto utilizzare il formato dell'indirizzo e-mail o il formato Jabber di nomeutente@service.com. Ciò consentirebbe ai provider di posta elettronica esistenti di offrire un ID senza richiedere all'utente di ricordare alcuni URL arcani.

Answer 5

No, non credo che OpenID sia un concetto imperfetto.

Se guardi la la storia di OpenID era originariamente pensato per consentire alle persone correlarsi tramite un URL di loro proprietà sui blog. Questa idea è stata ampliata ed è diventata il sistema Single Sign-On che è oggi.

Direi che OpenID è perfetto per i siti Web che non dispongono di account utente per conservare le informazioni di base, che non sono considerate vitali per l'utente finale. Quindi un sito di fumetti che aiuta con le valutazioni della tua collezione di fumetti potrebbe essere un buon esempio. Perché come utente finale OpenID è possibile accedere al sito (senza creare un altro nome utente / password - che potrebbero essere diversi da qualsiasi altro creato a causa degli utenti esistenti sul sistema) e verificare come lavorano. Se ti piace, puoi continuare a utilizzare il sistema normalmente. Oppure, se non sei totalmente innamorato del sito ma decidi di controllarlo in un secondo momento, invece di provare a ricordare quale combinazione di nome utente e password hai usato per un sito che pensavi di non poter tornare altrimenti, potrebbe essere frustrante. OpenID risolve perfettamente quel tipo di situazione.

Detto questo, non userei personalmente OpenID per accedere al mio conto bancario, a causa di molte cose che sono state dichiarate sulla sicurezza dei reindirizzamenti. Tuttavia gran parte di ciò sta cambiando e ci sono grandi progressi nel promuovere la sicurezza di OpenID attraverso lo scambio di attributi ( specialmente in Giappone ).

Un'altra nota che molte persone non sanno è che non è necessario utilizzare un URL per avere un OpenID, esiste una tecnologia chiamata i-names che assomiglia di più a un nome utente, ovvero il mio i-name è " = true " ;, questo può essere molto più semplice che digitare qualcosa come " http://true.myopenid.com " ;. Vi è un costo di $ 12 all'anno per i singoli nomi i, quindi inizialmente potrebbe essere una barriera per alcune persone, tuttavia gratuito esistono alternative se vuoi giocare con loro.

In un'ultima nota OpenID sta promuovendo l'idea della rilevabilità (se questa è una parola). È un concetto che sembrava essere seduto appena sotto la superficie. La rilevabilità è come un social network a livello di protocollo, se possibile :). Ci sono tonnellate di lavoro in corso in quell'area , che penso porterà a migliori implementazioni di OpenID o almeno all'idea di OpenID. Che si spera possa portare a una migliore Internet per tutti noi.

Disclaimer Sono nel comitato XRI TC e gestisco una startup focalizzata sulla vendita e la fornitura di servizi intorno a XRI.

FreeXRI non è la startup con cui sono coinvolto.

Answer 6

Google sembra pensarlo. La loro recente entrata nello spazio OpenID e l'immediato successivo fork del protocollo hanno due cose da dire sul problema:

1. OpenID è utile, specialmente quando è legato a siti con un numero molto elevato di utenti da utilizzare con siti che potrebbero supportare un gran numero di utenti e probabilmente non li disegneranno. Perché reinventare la ruota su un sistema di autenticazione quando qualcuno come Google o quelli che lavorano su OID lo hanno già coperto?
2. OpenID allo stato attuale è disordinato, in quanto le persone hanno già un gran numero di nomi utente diversi con molti dei fornitori partecipanti. Tuttavia, molti utenti hanno avuto una grande opportunità quando GMail è venuto in giro per ottenere il proprio nome come indirizzo e-mail e avere un numero piuttosto infinito di account che possono creare. Google sembra pensare che il loro sistema di account da solo sia sufficiente per tutti gli utenti Open ID. Probabilmente sarei d'accordo con questo.

Answer 7

Non sarebbe meglio avere questo tipo di cose integrate nel browser?

Ad esempio, inserisci i tuoi dati personali nelle preferenze del browser. Quindi un sito può richiedere dati personali con una chiamata JavaScript e il browser mostra una finestra di dialogo che chiede conferma. Ovviamente, l'API JavaScript dovrebbe essere standardizzata.

In questo modo l'utente non deve registrarsi da nessuna parte e tutte le sue informazioni personali vengono archiviate sul proprio computer. Inoltre i messaggi di conferma sembrerebbero il resto del tuo sistema operativo, non solo come un sito Web di cui potresti non fidarti.

Answer 8

Non credo sia un concetto imperfetto. Penso solo che sia nuovo, e le persone non sono abituate.

Ma OpenID dovrebbe essere usato in congiunzione con un sistema di registrazione locale in modo che l'utente possa scegliere. Dire all'utente di andare su X.com per registrarsi e poi tornare al tuo sito dopo - è solo stupido e confuso. Ma se l'utente ha già un account GMail / AOL / YMail / etc, lasciarlo usare è molto utile.

Penso che come sviluppatori dovremmo utilizzare moduli di accesso specializzati. Cioè, invece di " Inserisci il tuo URL OpenID " dovrebbe essere uno standard " inserisci il tuo nome utente " e possono selezionare Gmail / AOL / YMail / etc e dietro le quinte costruiamo l'URL. L'idea che un URL sia un nome di accesso è un po 'arretrata, quindi è utile aiutare le persone con la transizione.

Answer 9

Pensa che sia meglio diventare più specifici piuttosto che generali con questo tipo di domande.

Alla tua domanda, non penso che sia difettoso, ma hai ragione che potrebbe non piacere ad alcuni. Tuttavia, una volta che la gente lo capisce, come per capirlo, allora può arrivare ad usarlo di più. È sicuramente meglio ricordare un minor numero di password man mano che si finisce per renderle più deboli di quanto dovrebbero essere.

Answer 10

È necessario disporre di un ID utente univoco in tale szenario. Un'altra opzione potrebbe essere un indirizzo e-mail valido, ma cosa succede con lo spam allora.

Pertanto preferisco l'ID utente basato su URL. E per me l'usabilità con OpenID (nel mio caso myOpenId) è eccezionale.

Answer 11

Penso che alcune delle implementazioni OpenID lasciano molto a desiderare.

Ho immaginato che Yahoo avrebbe capito bene, ma il loro micro-sito OpenID (informazioni e implementazione) è spazzatura secondo me. Il layout è confuso, non chiariscono come open-id sia correlato a un account yahoo standard degli utenti.

Dopo aver scoperto quale schermata era necessaria per avviare la mia richiesta di accesso, Yahoo ha emesso una firma OpenID che includeva una stringa randomizzata. Questo non è stato accettato da StackOverflow. Ho dovuto creare un nuovo alias, che doveva anche diventare un'opzione predefinita. Senza un desiderio altrettanto ostinato di risolverlo, penso che molti utenti si arrenderebbero.

A mio avviso, devono essere elaborate linee guida più rigorose per l'implementazione e la campagna deve essere pesantemente pubblicizzata per educare i potenziali utenti.

Forse la tecnologia potrebbe essere inclusa nell'implementazione del browser?

Answer 12

YES.

Esistono ancora più accessi. Devo andare e accedere al mio provider OpenID, quindi devo andare al sito e accedere di nuovo con l'URL OpenID. Nessuno vuole fare più lavoro e OpenID è molto più lavoro.

Non conosco nessuno che non sia nel campo del computer che utilizza OpenID. OpenID è ancora troppo complesso. L'utente medio non deve essere confuso da un altro livello di astrazione.

Esiste anche il problema del tracciamento della destinazione degli utenti di OpenID. Uso VeriSign, un nome di fiducia, ma per quanto riguarda coloro che utilizzano provider meno affidabili. No, non ho intenzione di nominare nomi e iniziare una guerra di fiamma.

C'è una risposta migliore, si chiama RoboForm ( o uno dei tanti knock-off). Tutte le password e i nomi degli utenti vengono conservati sul proprio computer ed è crittografato. È facile da usare, più sicuro e più veloce.

Answer 13

Penso che ci siano aspetti di OpenID che pongono problemi di usabilità per molti utenti, ma probabilmente potrebbero essere risolti tramite miglioramenti dell'interfaccia utente. Ad esempio, un URL è quasi intrinsecamente inutilizzabile per la maggior parte degli utenti. Ma non c'è motivo che non possa essere sottratto, quindi l'utente sceglie semplicemente il proprio provider e inserisce il nome utente che usano in quel provider. Inoltre, doversi recare in una posizione separata per accedere è un enorme problema di usabilità e giustamente fa scattare bandiere rosse agli utenti su quali dati stanno fornendo a chi. Sarà molto più difficile da risolvere.

Answer 14

Questo alla fine non comprometterebbe l'identità di un individuo in caso di furto o smarrimento? Questa è la mia principale preoccupazione. L'anonimato presenta vantaggi e svantaggi. Credo di avere entrambi. Ho amici intimi che temono di unirsi alla comunità di Facebook per il fatto che è così aperto che diventa un bersaglio facile se il database viene mai attaccato.

Answer 15

Non voglio che altri sistemi possiedano i miei ID per le mie applicazioni.

Ottengo il concetto di più semplice per l'utente e più uniforme.

Tuttavia, UserID è la chiave dell'esperienza per i visitatori del sito, non si desidera mettere tutte le uova in un paniere (Microsoft Passport, OpenID, ecc.). Se le cose cambiano, hai incasinato tutti i tuoi account utente.

Answer 16

Il concetto va bene, tuttavia il design consente di sfruttare gli exploit di sicurezza ...