サイトで OpenID 認証のみを使用する利点は何ですか?

Question

私の経験から言えば、 OpenID, いくつかの重大な欠点があると思います。

を追加します 単一障害点 サイトへ
発見されても現場で修正できる故障ではありません。OpenID プロバイダーが 3 日間ダウンした場合、ユーザーがログインして自分が所有する情報にアクセスできるようにするために、サイトはどのような手段を講じる必要がありますか?

ユーザーがサイトにログオンするたびに、別のサイトのコンテンツに移動します。
OpenID プロバイダーにエラーがない場合でも、ユーザーはログインするためにそのサイトにリダイレクトされます。ログイン ページにはコンテンツとリンクがあります。そのため、ユーザーが実際にサイトから離れてインターネットのウサギの穴に落ちてしまう可能性があります。

ユーザーを他社の Web サイトに誘導する必要があるのはなぜですか?
[ 注記：私のプロバイダーはもうこれを行っておらず、この問題は（今のところ）解決されているようです。]

サインアップにかなりの時間がかかる
サイトにサインアップするには、新しいユーザーは新しい標準を読み、プロバイダーを選択し、サインアップする必要があります。標準は、ユーザー エクスペリエンスをスムーズにするために、技術者が同意する必要があります。それらはユーザーに押し付けられるべきものではありません。

それはフィッシャーズ・ドリームだ
OpenID は非常に安全ではなく、ログイン時にその人の ID を盗むのは簡単です。[ David Arno の記事より抜粋 答え 下に ]

---

欠点はすべてありますが、利点が 1 つあるのは、ユーザーがインターネット上でログインできる回数が少なくなることです。サイトに OpenID のオプトインがある場合、その機能を必要とするユーザーはそれを使用できます。

私が理解したいのは次のとおりです。
OpenID を作成するとサイトにどのようなメリットがありますか 必須?

Answer 1

欠点のリストには、最も明白な欠点が欠けています。それはフィッシング詐欺師の夢です。OpenID は非常に安全ではなく、ログイン時にその人の ID を盗むのは簡単です。

ただし、Matt Sheppard 氏はその答えについて見事に的中しています。OpenID のみを使用する利点は、ユーザー名とパスワードを扱う必要がなく、ユーザー アカウント作成コードも必要ないため、サイト作成者の手間が軽減されることです。

Answer 2

OpenID を必須にする利点は、単に Web サイトのログイン コードを (OpenID 統合を超えて) 記述する必要がなく、ユーザー パスワードの保存などについて予防策を講じる必要がないことです。

独自のログイン コードを持たないということは、紛失したパスワードのリセットなどの多くのサポート問題に対処する必要がないことも意味します。

確かに、欠点のほとんどは当てはまりますので、トレードオフになると思います。

私が驚いたのは、アカウントのサインアップ段階だけで特定の OpenID プロバイダーと密接な関係を築いているサイトがこれ以上ないということです。「任意の OpenID を使用できますが、ユーザー名とパスワードなどを入力して今すぐ作成することもできます」ログイン ページのようなもので、選択したプロバイダーで新しいアカウントが自動的に作成されます。

Answer 3

これはインフラストラクチャの一部をアウトソーシングする良い方法です。パスワードの紛失などを心配する必要はありません。誰かが代わりにやってくれます。

ただし、それを独占的に使用するかどうかはわかりません。私は OpenID を完全に信頼できるほど使用したことがないため、ユーザーの 90% 以上が OpenID を取得するまでサインアップ プロセスを合理化する必要があります。

Answer 4

サイトに障害のクリティカルポイントを追加します

3番目に高い Stackoverflow の uservoice に関するアイデア OpenID プロバイダーの変更を許可することです。コメントには、OpenID 以外の関連付けを許可するという提案があります。複数の OpenID を 1 つのアカウントに関連付けることができるサイトでは、通常の OpenID プロバイダーがダウンした場合でも、別のプロバイダーでログインできます (すでにサイトに関連付けられていると仮定します)。

また、機能していない OpenID プロバイダーのユーザーにとって、これは重大な障害点にすぎません。他の OpenID プロバイダーの他のすべてのユーザーは、引き続きログを記録できます。時間が経つにつれて、ユーザーは最も信頼できるプロバイダーに移行することが予想されます。

ユーザーがサイトにログオンするたびに、別のサイトのコンテンツに移動します。

サイト (または命名法では OpenID コンシューマー) を常に信頼するように OpenID プロバイダーを設定していて、すでに OpenID プロバイダーにログインしている場合、OpenID プロバイダーのサイトが表示されることなく、サイトに直接リダイレクトされます。

サインアップに試用期間以外の時間が追加されます

現時点ではそれが真実かもしれませんが、andyuk 氏が言うように、「OpenID をサポートするサイトが増えれば増えるほど、この問題は少なくなります」。数年後には、ほとんどのユーザーがすでに OpenID を持っており、それが何であるかを知っていることになると思います。

Answer 5

エンジニアリングの観点から OpenID のみにすることの大きな利点の 1 つは、資格情報認証の部分を抽象化することで、サイト用にわざわざ構築するものよりもはるかに洗練された認証方法をユーザーが選択できることです。はい、一部の OpenID プロバイダーは簡単にフィッシングされます。一方、他の OpenID ユーザーは、情報カード、ハードウェア トークン、または電話認証を使用してログインします。これらは資格情報です。 できない フィッシング詐欺師によって捕捉され、再生される可能性があります。

ゲイブ・ワチョブ役 それを置く:

認証方法で革新を起こしたい人は、Web 上でサービスを提供する革新を行う人 (Mediawiki、Drupal などを実行している 100 万人の中の 1 人) と同じである必要はありません。認証の革新とサービスの革新の「切り離し」こそが OpenID の価値です。

したがって、OpenID を使用すると、ユーザーに強力な認証方法を提供できます。抽象化により、1 つのインターフェイスを実装できるようになり、平文で 8 文字のパスワードを使用するか、チャレンジ/レスポンス ニューラル インプラントを使用するかに関係なく、使用するプロバイダーを選択できます。

Answer 6

これは、ユーザーが OpenID にサインアップし、OpenID について詳しく調べ、できれば自分自身で OpenID を宣伝することを奨励します。

Stack Overflow は、OpenID をサポートするだけで機能することを証明しています。

「サイトに重大な障害点を追加します」

OpenID プロバイダーが機能しない場合に備えて、ユーザーがログインして OpenID プロバイダーを追加/変更できるメカニズムをサイトに備えておく必要があります。おそらくサイトは、ユーザーが自分のアカウントにアクセスできるように、セキュリティを回避するための一時的なリンクを電子メールで送信する可能性があります。

「ユーザーがサイトにログオンするたびに、ユーザーを別のサイトのコンテンツに誘導します」

私の OpenID プロバイダーでは、特定の Web サイトを信頼できるので、その Web サイトを表示する必要さえありません。

「サインアップに試用期間以外の時間が追加されます」

OpenID をサポートするサイトが増えれば増えるほど、この問題は少なくなります。

Answer 7

Web 開発者として、私は OpenID のアイデアの大ファンです。認証コードを書くのは面倒です。Web ユーザーとして、私は OpenID の大ファンです。SO やフォーラムなどの重要ではない用途では、ID を取得すればサイトに参加するのが非常に簡単な方法だからです。

開発者向けコミュニティなどのいくつかの例外を除いて、現時点では OpenID のみを強制することはできないと思います。「平均的な」Web ユーザーは (それが何を意味するにせよ) 理解できません。しかし、このようなサイトで宣伝することで開発者の意識が高まり、最終的にはそのアイデアが少しずつ浸透していくでしょう。OpenID がますます多くのサイトに登場するにつれて、人々は OpenID を調べ、自分が OpenID を持っていることに気づき、それを使い始めるでしょう。OpenID (これは素晴らしいアイデアですが) が普及するには、それをサポートするユーザーとサイトが非常に多く存在する必要があります。

最終的には、それは単なる「現状」になり、なぜ自分たちが作成した Web サイトごとに認証コードを作成したのか、Web 上のどこに行っても固有の ID を作成する必要があるのか​​疑問に思うでしょう。

Answer 8

ポッドキャストの 1 つで説明されているように、これは、Yahoo! を投稿する場所ではないかと疑問に思うことで、放浪者が発生することへの参入障壁を追加します。質問に答えます。

これはややエリート主義的ですが、特にこの Web サイトの焦点を考慮すると、Open ID プロセスを理解できない人を拒否することは十分に許容できます。また、本当に答えるべき本当の質問がある人は、どんな問題でも解決するのに苦労することができます。ちょっとした苦労。

Answer 9

OpenID に関する私の経験から、多くの重要な利点があると感じています。

信頼できる OpenID プロバイダーを使用してログインすることを選択した場合、たとえば、Verisign PIP+VIP では、帯域外 SecureID 認証メカニズムの利点を享受できます。これは、他のすべてを上回る主要な利点と見なされるべきです。あなたは、アクセスするサイト上にあるどんなくだらないフォームベースの認証ももはや信頼せず、Verisign VIP や、あなたが選択した OpenID プロバイダーを信頼することになります。

インターネットのウサギの穴？実装が悪いように思えますが、私にはあなたが何を指しているのかわかりません。

認証の詳細を簡単に盗むことはできません。すでにあるものよりも不可能に近づくことができます。私がプロバイダーに連絡していると思わせることはできるかもしれませんが、Verisign にはリダイレクトを許可しない、または受け入れないオプションがあります。特に、OpenID 認証プロバイダーを通じて得られる帯域外認証メカニズムの利点と比較すると、これらのフィッシング問題は些細なことであると私は考えています。たとえば、RSA キーの詳細を一度フィッシングしたとすると、次回は無効になるか、ブラウザ証明書を使用する場合はまったく役に立たない可能性があります。

結論として、OpenID は現在のシステムを進化させたものであり、電子メール アドレスを照合して検証するものです。あなたの電子メール アカウントが現在の単一障害点である場合、その通りです。あなたが管理している OpenID があなたの制御下になくなった場合、あなたの OpenID が新しい単一障害点になる可能性があります。したがって、電子メール サーバーのみを信頼する場合は、独自の OpenID URL をホストするだけです。Gmail を信頼する場合は、OpenID に Gmail URL を使用します。これは、Gmail アカウントが最終的にアカウントのパスワードを取得できるため、同じトークンによってすでに SSO として Gmail を信頼していることになります。

当然のことですが、認証メカニズムの基本的な概念を理解するのが難しい人もいるかもしれません。SecureID カードを使用して (OpenID プロバイダー経由で) アカウントを持っているサイトにログインできるなら、そうするでしょう。だから、それが唯一の選択肢なら、私はそれを選びます！

Answer 10

サイトに重大な障害点を追加します

その重大な障害点は、送信した確認メールが、ユーザーのメールボックスが、a) タイプミスにより利用できない、b) メールボックスがいっぱい、または c) プロバイダーが「ダウン」している可能性があります。

ユーザーがサイトにログオンするたびに、別のサイトのコンテンツに移動します。

それはわかりますが、私の意見では、これはそれほど悪いことではありません。つまり、Y!これは最も乱雑なログインの 1 つのようで、私にとってもうまくいきません。;) 余談ですが、ほとんどの OpenID プロバイダーは (まだ) それほど悪くないようです。

また、聴衆のことも念頭に置いてください。お母さんとお父さんがユーザーの場合、OpenID はおそらく非常に混乱するでしょう。しかし、おそらくインターネット上にも同様のことがたくさんあります。SO の場合、人々はある程度精通したユーザーであり、自分が何を望んでいるのかを知っています。

サインアップに試用期間以外の時間が追加されます

これは問題ではありません。プロバイダーのリストを見てください。http://openid.net/get/

少なくとも Yahoo! を持っている人はたくさんいます。アカウントなので、それが実際に機能したかどうか。それほど悪くはないだろう。ただし、ユーザーが OpenID を持たず、その用途がわからない場合には同意します。彼らを教育するのはそれほど簡単ではありません。

そして、「サイト A に登録するには、サイト B に登録する必要がある」という意味について考えてください。そして、登録自体が面倒なことは誰もが知っています。しかし、長期的には、これはまさに OpenID が対処しようとしていることでもあります。

主流では、現時点では OpenID を必須にする価値はないと考えています。アドオンとしては気に入ってますが。人々がどのようにして「Facebook でログイン」などのリンクを提供するのか。そうすれば、理解できない人（または気にしない人）は気にする必要はありません。ただし、他の人は引き続き使用できます。

Answer 11

OpenID は、スライスされたパン以来、最も優れたものかもしれませんが、ジェフ・アトウッド/ジョエル・スポルスキーがここで文句を言うために私にそうさせた以外に、私のアイデンティティに関して「彼ら」を信頼する理由は私には与えられていません ;-)

Answer 12

もうひとつ言及しておきたいことがあります。OpenID を備えたユーザーベースがすでにあるので、ログインするだけで済みます。

Answer 13

私は主に使いやすさの観点から OpenID に賛成です。安全性についてはまだ確信が持てませんが、多くの可能性を秘めています。言いたいことはたくさんありますが、私は次の2点について答えたいと思います。

サインアップに非自明の時間を追加します

初回セットアップ時のみ。また、現在では Yahoo のような企業がサポートを提供しているため、多くの人は望まなければ OpenID をセットアップする必要すらなくなるでしょう。OpenID プロバイダーとして Google または同様のプロバイダーを使用していた場合、それらは本質的に安全ではないと思われますか?また、どれくらいの頻度でダウンタイムが発生すると予想されますか?

それはフィッシャーズ・ドリームだ

これが部分的には真実である可能性があることは認めます。しかし、フィッシングは技術的な問題というよりも社会的な問題ではないでしょうか?OpenID を使えばそれが簡単になるかもしれませんが、それでも本当の問題はユーザーであるという事実がなくなるわけではありません。テクノロジーを通じてユーザーを保護しようとするよりも、フィッシング詐欺師がどのように活動しているかをユーザーに認識させることの方がはるかに重要です。

Answer 14

少なくとも OpenID は、ログインするために OpenID プロバイダーに送信します。
blogspot でブログを読んでいたのですが、このブログをフォローするためのリンクがあり (新しい投稿があるときに通知してくれると思われます)、これを行うと、Gmail のユーザー名とパスワードを尋ねるボックスがポップアップ表示されます。

これが本物でフィッシング サイトではないと仮定しても、彼らは私の Gmail、Google ドキュメント、Google アプリケーション、すべてへのログイン情報を (潜在的に) 持っていることになります。

Answer 15

OpenID を持つことの主な利点は長期的に見られます。ID をさまざまなサイトに適用する代わりに、一度実行すれば、一意の ID を必要とするすべてのサイトでそれを使用できます。もちろん、銀行や取引のような安全なサイトの場合は、まったく異なる種類の考え方が必要になります。しかし、SNSなどでは気軽に利用することができます。

ユーザー名とパスワードを 1 つだけ覚えればよいので、お父さんとお母さんも簡単になるでしょう。多くの場合、どのサイトでどのようなログインを行ったかを思い出すのが難しくなり、サイト A の正しいユーザー名とパスワードをサイト B で使用することになります。OpenID がそれを解決します。さらに、これは OpenID プロバイダーとユーザーにとって優れた収益モデルです。私は、そのようなプロバイダーに、私が提供したいすべての詳細を入力することができ、私が提供するすべての詳細は、私がお金を稼ぐことができます。

おそらくプロバイダーは、それをインセンティブとして利用して私をなだめて自分のことを詳しく話させ、それを私が登録しているサイトに販売することができるでしょう。つまり、サイト A は私の情報に対して OpenID を支払います。OpenID はその一部を私に渡します。サイト A はユーザーを管理する必要がなく、OpenID がお金を受け取り、ユーザーもお金を受け取り、誰もが幸せになります :)

こうすることで、OpenID を必須にする必要がなくなります。人々自身もそれを望むでしょう。OpenID プロバイダーは、より良いサービスを提供するために相互に競争し、競争がある場合には関係者全員により良い価値が提供されます。素晴らしいアイデアだと思います。

編集： 特定のプロバイダーのダウンタイムについて。OpenID プロバイダー A が 100% の稼働時間を提供する自信がない場合は、別のプロバイダー B の助けを借りることができ、プロバイダー A のユーザーはプロバイダー A が提供するオプションから選択できます。ユーザーを認証するためにプロバイダー A にアクセスするサイトは、プロバイダー A が機能しない場合に他のどのプロバイダーにアクセスすればよいかを知っています。これは、最初のログイン時にデータベースに自動的に保存されます。実装の詳細についてブレインストーミングをしたい人はいますか?:)