사이트에서 OpenID 인증만 사용하면 어떤 이점이 있나요?

Question

내 경험으로는 오픈아이디, 다음과 같은 몇 가지 중요한 단점이 있습니다.

추가 단일 실패 지점 사이트로
감지되더라도 사이트에서 고칠 수 있는 장애는 아닙니다.OpenID 제공업체가 3일 동안 다운된 경우 사이트는 사용자가 로그인하여 자신이 소유한 정보에 액세스할 수 있도록 어떤 방법을 사용해야 합니까?

사용자가 귀하의 사이트에 로그온할 때마다 다른 사이트 콘텐츠로 이동합니다.
OpenID 제공업체에 오류가 없더라도 사용자는 로그인을 위해 해당 사이트로 리디렉션됩니다.로그인 페이지에는 콘텐츠와 링크가 있습니다.따라서 사용자가 실제로 사이트를 떠나 인터넷 토끼굴로 내려가게 될 가능성이 있습니다.

내 사용자를 다른 회사의 웹사이트로 보내고 싶은 이유는 무엇입니까?
[ 메모:내 제공자는 더 이상 이 작업을 수행하지 않으며 (현재로서는) 이 문제를 해결한 것 같습니다.]

가입에 적지 않은 시간을 추가합니다.
사이트에 가입하려면 신규 사용자는 새로운 표준을 읽고 공급자를 선택한 후 가입해야 합니다.표준은 사용자 경험을 원활하게 만들기 위해 기술 담당자가 동의해야 하는 것입니다.사용자에게 강요할 사항이 아닙니다.

피셔의 꿈이다
OpenID는 믿을 수 없을 정도로 안전하지 않으며 로그인할 때 개인의 ID를 도용하는 것은 매우 쉽습니다.[David Arno의 글에서 발췌 답변 아래에 ]

---

모든 단점에 대해 한 가지 장점은 사용자가 인터넷에서 로그인 횟수를 줄일 수 있다는 것입니다.사이트에 OpenID가 선택되어 있는 경우 해당 기능을 원하는 사용자는 해당 기능을 사용할 수 있습니다.

내가 이해하고 싶은 것은 다음과 같습니다.
OpenID를 만들면 사이트가 어떤 이점을 얻을 수 있나요? 필수적인?

Answer 1

단점 목록에는 가장 분명한 단점이 빠져 있습니다.그것은 피싱꾼의 꿈이다.OpenID는 믿을 수 없을 정도로 안전하지 않으며 로그인할 때 개인의 ID를 도용하는 것은 매우 쉽습니다.

Matt Sheppard는 대답에 대해 정확히 답했습니다. OpenID만 사용하면 처리할 사용자 이름과 비밀번호가 없고 사용자 계정 생성 코드가 필요하지 않기 때문에 사이트 작성자의 번거로움이 덜하다는 이점이 있습니다.

Answer 2

OpenID를 필수로 설정하면 웹 사이트의 로그인 코드를 작성할 필요가 없고(OpenID 통합 외에) 사용자 비밀번호 저장 등에 대해 예방 조치를 취할 필요가 없다는 이점이 있습니다.

자신만의 로그인 코드가 없다는 것은 비밀번호 분실 등의 많은 지원 문제를 처리할 필요가 없다는 의미이기도 합니다.

확실히 대부분의 단점은 유효하므로 절충안이 될 것 같습니다.

제가 놀랐던 점은 단순히 계정 가입 단계를 거치는 것 외에 특정 OpenID 제공업체와 긴밀한 관계를 형성하는 사이트가 더 이상 없다는 것입니다.일종의 '원하는 OpenID를 사용할 수 있지만 사용자 이름과 비밀번호 등을 입력하여 지금 바로 OpenID를 만들 수도 있습니다.' 로그인 페이지에서 선택한 공급자로 새 계정을 자동으로 생성합니다.

Answer 3

인프라의 일부를 아웃소싱하는 좋은 방법입니다.비밀번호 분실 등에 대해 걱정할 필요가 없습니다. 다른 사람이 대신해 주기 때문입니다.

하지만 단독으로 사용할지는 잘 모르겠습니다.저는 OpenID를 완전히 신뢰할 만큼 충분히 사용하지 않았으며, 사용자의 90% 이상이 OpenID를 가질 때까지 가입 프로세스를 간소화해야 합니다.

Answer 4

사이트 장애의 임계점을 추가합니다.

세 번째로 높은 Stackoverflow의 uservoice에 대한 아이디어 OpenID 공급자 변경을 허용하는 것입니다.그리고 댓글에는 OpenID보다 더 많은 연결을 허용하라는 제안이 있습니다.여러 OpenID를 하나의 계정에 연결할 수 있는 사이트에서는 일반적인 OpenID 공급자가 다운된 경우에도 다른 공급자로 로그인할 수 있습니다(이미 해당 사이트와 연결했다고 가정).

또한 작동하지 않는 OpenID 공급자 사용자에게는 중요한 실패 지점일 뿐입니다.다른 OpenID 공급자의 다른 모든 사용자는 계속해서 기록할 수 있습니다.시간이 지남에 따라 사용자는 가장 신뢰할 수 있는 공급자로 마이그레이션할 것으로 예상됩니다.

사용자가 귀하의 사이트에 로그온할 때마다 다른 사이트 콘텐츠로 이동합니다.

사이트(또는 명명법상 OpenID 소비자)를 항상 신뢰하도록 OpenID 공급자를 설정하고 이미 OpenID 공급자에 로그인한 경우 OpenID 공급자 사이트를 보지 않고도 해당 사이트로 바로 리디렉션됩니다.

가입에 평가판이 아닌 시간을 추가합니다.

현재로서는 그것이 사실일 수도 있지만, andyuk이 말했듯이 "OpenID를 지원하는 사이트가 많아질수록 이는 문제가 덜 됩니다".나는 몇 년 안에 대부분의 사용자가 이미 OpenID를 갖고 있고 그것이 무엇인지 알게 될 것이라고 예상합니다.

Answer 5

엔지니어링 관점에서 OpenID 전용으로 전환하는 것의 가장 큰 이점 중 하나는 자격 증명-인증 부분을 추상화하면 사용자가 사이트를 위해 구축하는 것보다 훨씬 더 정교한 인증 방법을 선택할 수 있다는 것입니다.예, 일부 OpenID 제공업체는 쉽게 피싱을 당합니다.반면에 다른 OpenID 사용자는 정보 카드, 하드웨어 토큰 또는 전화 확인을 통해 로그인하며 이는 할 수 없다 피셔에 의해 포착되어 재생될 수 있습니다.

게이브 와초브(Gabe Wachob) 넣어:

인증 방법을 혁신하려는 사람들은 [...] 웹에서 서비스를 제공하는 데 혁신을 일으키는 사람들(Mediawiki, Drupal 등을 실행하는 백만 명의 사람들 중 하나)일 필요는 없습니다.인증 혁신과 서비스 혁신의 '연결 해제'가 OpenID의 가치입니다.

따라서 OpenID를 사용하면 사용자에게 더 강력한 인증 방법을 제공할 수 있습니다.추상화를 통해 하나의 인터페이스를 구현한 다음 일반 텍스트로 된 8자리 비밀번호를 사용하든 도전 응답 신경 임플란트를 사용하든 관계없이 작업할 공급자를 선택할 수 있습니다.

Answer 6

이는 사용자가 OpenID에 등록하고 이에 대해 자세히 알아보고 스스로 이를 전파하도록 권장합니다.

Stack Overflow는 OpenID를 지원하는 것만으로도 효과가 있음을 증명합니다.

"사이트 장애에 대한 임계점을 추가합니다"

OpenID 공급자가 작동하지 않는 경우 사이트에는 사용자가 로그인하고 OpenID 공급자를 추가/변경할 수 있는 메커니즘이 있어야 합니다.아마도 사이트는 사용자가 자신의 계정에 액세스할 수 있도록 보안을 우회하기 위한 임시 링크를 이메일로 보낼 수 있습니다.

"사용자가 귀하의 사이트에 로그온할 때마다 다른 사이트 콘텐츠로 이동합니다."

내 OpenID 공급자는 특정 웹사이트를 신뢰할 수 있도록 허용하므로 해당 웹사이트를 볼 필요도 없습니다.

"가입에 평가판이 아닌 시간을 추가합니다."

OpenID를 지원하는 사이트가 많아질수록 이는 문제가 덜 됩니다.

Answer 7

웹 개발자로서 저는 OpenID 아이디어의 열렬한 팬입니다.인증 코드를 작성하는 것은 정말 힘든 일입니다.웹 사용자로서 저는 OpenID의 열렬한 팬입니다. SO, 포럼 등과 같이 중요하지 않은 용도에서는 일단 ID가 있으면 사이트에 가입하는 매우 간단한 방법이기 때문입니다.

개발자를 위한 커뮤니티와 같은 몇 가지 예외를 제외하고는 현재로서는 OpenID만 강제할 수는 없다고 생각합니다."평균" 웹 사용자(그게 무엇을 의미하든)는 이를 이해하지 못합니다.하지만 이런 사이트에서 홍보하면 개발자들 사이에서 인지도가 높아지고 아이디어는 결국 흘러내리게 됩니다.OpenID가 점점 더 많은 사이트에 등장함에 따라 사람들은 OpenID를 살펴보고 OpenID가 있다는 사실을 깨닫고 사용하기 시작할 것입니다.좋은 아이디어인 OpenID가 인기를 얻으려면 이를 지원하는 사용자와 사이트가 일정 수준 이상이어야 합니다.

결국 그것은 단지 "그대로"가 될 것이고 우리는 왜 우리가 만든 모든 단일 웹사이트에 대해 인증 코드를 생성했는지, 왜 웹상의 모든 곳에서 고유한 ID를 생성했는지 궁금해할 것입니다.

Answer 8

팟캐스트 중 하나에서 논의된 바와 같이, 이곳이 야후!를 게시해야 하는 곳인지 궁금해하여 방랑자에게 진입 장벽을 추가합니다.질문에 답변합니다.

다소 엘리트주의적이지만 특히 이 웹 사이트의 초점을 고려할 때 Open ID 프로세스를 파악할 수 없는 사람을 거부하는 것은 상당히 허용되며 답변이 필요한 실제 질문이 있는 사람은 누구나 어떤 절차를 거쳐도 귀찮게 작업할 수 있습니다. 약간의 어려움.

Answer 9

OpenID에 대한 내 경험을 통해 다음과 같은 몇 가지 중요한 장점을 발견했습니다.

신뢰할 수 있는 OpenID 제공업체로 로그인하기로 선택한 경우.Verisign PIP+VIP를 사용하면 대역 외 SecureID 인증 메커니즘의 이점을 누릴 수 있습니다.이는 다른 모든 것보다 중요한 주요 이점으로 간주되어야 합니다.귀하는 액세스하는 사이트에 있는 형편없는 양식 기반 인증을 더 이상 신뢰하지 않고 Verisign VIP 또는 귀하가 선택한 OpenID 제공업체를 신뢰하고 있습니다.

인터넷 토끼굴?잘못된 구현처럼 들리는데 나는 당신이 무엇을 말하는지 모르겠습니다.

인증 세부 정보를 쉽게 훔칠 수는 없으며 이미 가지고 있는 것보다 불가능에 가까워질 수 있습니다!내가 공급자에게 연락하고 있다고 생각하도록 나를 속일 수도 있지만 Verisign은 리디렉션을 허용하거나 수락하지 않는 옵션을 제공합니다.저는 이러한 피싱 문제를 사소한 문제로 생각합니다. 특히 OpenID 인증 공급자를 통해 얻을 수 있는 대역 외 인증 메커니즘의 이점을 비교해 보면 더욱 그렇습니다.따라서 RSA 키 세부 정보를 한 번 피싱했다고 가정하면 다음 번에는 유효하지 않거나 브라우저 인증서를 사용한다고 말하면 완전히 쓸모가 없을 수도 있습니다.

결론적으로 OpenID는 검증할 이메일 주소인 현재 시스템의 진화일 뿐입니다.귀하의 이메일 계정이 현재 단일 실패 지점이라면 그렇습니다. 귀하가 제어하는 ​​OpenID가 더 이상 제어할 수 없는 경우 OpenID가 새로운 단일 실패 지점이 될 수 있습니다.따라서 이메일 서버만 신뢰한다면 자신만의 OpenID URL을 호스팅하기만 하면 됩니다.Gmail을 신뢰한다면 OpenID에 Gmail URL을 사용하십시오. 동일한 토큰을 사용하면 Gmail 계정이 궁극적으로 계정 비밀번호를 검색할 수 있기 때문에 이미 Gmail을 SSO로 신뢰하고 있기 때문입니다.

생각할 필요도 없지만 일부 사람들은 인증 메커니즘의 기본 개념을 이해하는 데 어려움을 겪을 수 있음을 알 수 있습니다.내 OpenID 공급자를 통해 내 SecureID 카드를 사용하여 계정이 있는 사이트에 로그인할 수 있다면 그렇게 할 것입니다.그래서 그것이 유일한 선택이라면 나는 그것을 택할 것입니다!

Answer 10

사이트 장애에 대한 중요 지점을 추가합니다.

중요한 실패 지점은 전송한 확인 이메일일 수 있지만 사용자의 사서함이 a) 오타로 인해 사용할 수 없거나, b) 가득 찼거나, c) 공급자가 '다운'된 경우입니다.

사용자가 귀하의 사이트에 로그온할 때마다 다른 사이트 콘텐츠로 이동합니다.

알 수는 있지만 IMHO – 그렇게 나쁘지는 않습니다.내 말은, Y!가장 복잡한 로그인 중 하나인 것 같고 나에게도 전혀 작동하지 않습니다.;) 그 외에도 대부분의 OpenID 제공업체는 (아직은) 그다지 나쁘지 않은 것 같습니다.

또한 청중을 염두에 두십시오.엄마와 아빠가 사용자라면 OpenID는 아마도 혼란스러울 것입니다.하지만 아마 인터넷에도 그런 내용이 많이 있을 것입니다.SO의 경우 사람들은 어느 정도 능숙한 사용자이며 자신이 원하는 것이 무엇인지 알고 있습니다.

가입에 평가판이 아닌 시간을 추가합니다.

이는 문제가 되지 않습니다.공급자 목록을 살펴보십시오.http://openid.net/get/

많은 사람들이 최소한 Yahoo!계정이 실제로 작동했는지 확인하세요.그렇게 나쁘지는 않을 것입니다.사용자에게 OpenID가 없고 그것이 무엇인지 모르는 경우에는 동의합니다.그들을 교육하는 것은 그리 쉬운 일이 아닙니다.

그리고 "사이트 A에 등록하려면 사이트 B에 등록해야 합니다"라는 의미를 생각해 보세요.그리고 우리 모두는 등록 자체가 골치 아픈 일이라는 것을 알고 있습니다.그러나 장기적으로 보면 이것이 바로 OpenID가 해결하려고 하는 문제이기도 합니다.

주류에서는 현재 OpenID를 필수로 만드는 것이 가치가 없다고 생각합니다.그래도 추가 기능이 마음에 듭니다.사람들이 "Facebook으로 로그인" 링크를 제공하는 방법 등.그러면 그것을 이해하지 못하는(또는 관심이 없는) 사람들은 귀찮게 할 필요가 없습니다.그러나 다른 사람들은 여전히 ​​그것을 사용할 수 있습니다.

Answer 11

OpenID는 얇게 썬 빵 이후 가장 위대한 것일 수 있지만, Jeff Atwood/Joel Spolsky가 여기에 불평하기 위해 그렇게 하도록 만든 것 외에는 내 정체성으로 "그들"을 신뢰할 이유가 없습니다. ;-)

Answer 12

또한 언급할 한 가지.이미 OpenID를 사용하는 사용자 기반이 있으므로 로그인만 하면 됩니다.

Answer 13

나는 주로 사용 편의성 측면에서 OpenID를 선호합니다.나는 그것이 안전하다는 것을 여전히 확신하고 있지만 많은 잠재력을 가지고 있습니다.이에 대해 할 말이 많지만 저는 다음 두 가지 점에 대해 답변을 드리고 싶었습니다.

가입에 사소한 시간을 추가합니다

처음으로 설정한 경우에만 해당됩니다.또한 Yahoo와 같은 회사가 현재 지원을 제공하고 있으므로 많은 사람들은 원하지 않는 경우 OpenID를 설정하는 데 어려움을 겪을 필요조차 없습니다.Google이나 OpenID 제공업체와 유사한 업체를 이용했다면 이들이 본질적으로 안전하지 않다고 생각하시나요?그리고 가동 중지 시간이 얼마나 자주 발생할 것으로 예상하십니까?

피셔의 꿈이다

나는 이것이 부분적으로 사실일 수 있다는 점을 인정합니다.하지만 피싱은 기술적인 문제라기보다 사회적인 문제가 아닌가?OpenID를 사용하면 이를 더 쉽게 만들 수 있지만, 그렇다고 해서 실제 문제가 사용자라는 사실이 사라지지는 않습니다.기술을 통해 피싱범을 안전하게 보호하려고 노력하는 것보다 사용자에게 피싱범의 활동 방식을 알리는 것이 훨씬 더 중요합니다.

Answer 14

적어도 OpenID는 로그인을 위해 OpenID 제공업체로 귀하를 보냅니다.
나는 blogspot에서 블로그를 읽고 있었는데 이 블로그를 팔로우할 수 있는 링크가 있습니다(새 게시물이 있으면 알려주세요). 그러면 내 Gmail 사용자 이름과 비밀번호를 묻는 상자가 나타납니다.

이것이 피싱 사이트가 아니라 진짜라고 가정하더라도 – 그들은 이제 (잠재적으로) 내 Gmail, 내 Google 문서, 내 Google 애플리케이션 등 모든 것에 로그인할 수 있습니다!

Answer 15

OpenID 보유의 주요 이점은 장기적으로 볼 수 있습니다.여러 사이트에 ID를 신청할 필요 없이 한 번만 적용하면 고유한 ID가 필요한 모든 사이트에서 사용할 수 있습니다.물론 은행 및 거래와 같은 보안 사이트의 경우 완전히 다른 종류의 사고가 필요합니다.하지만 소셜 네트워킹 사이트 등에서는 쉽게 사용할 수 있습니다.

이제 하나의 사용자 이름/비밀번호만 기억하면 되므로 엄마와 아빠도 쉽게 느끼실 것입니다.어떤 사이트에 어떤 로그인 정보가 있는지 기억하기 어려워지고 사이트 B에서 사이트 A의 올바른 사용자 이름/비밀번호를 사용하게 되는 경우가 많습니다.OpenID가 이를 해결해 드립니다.또한 이는 OpenID 제공업체와 사용자 모두에게 좋은 수익 모델입니다.나는 그러한 제공자에게 내가 제공하고자 하는 모든 세부 정보를 입력할 수 있으며, 내가 제공하는 모든 세부 정보를 통해 돈을 벌 수 있습니다.

아마도 공급자는 인센티브로 이를 사용하여 나 자신에 대해 더 많이 말하도록 유도할 수 있으며, 그런 다음 이를 내가 등록한 사이트에 판매할 수 있습니다.그래서 사이트 A는 내 정보에 대해 OpenID에 비용을 지불합니다.그런 다음 OpenID는 그 일부를 나에게 전달합니다.사이트 A는 사용자를 관리할 필요가 없고 OpenID는 돈을 벌고 사용자는 돈을 벌고 모두가 행복합니다 :)

이렇게 하면 OpenID를 필수로 설정할 필요가 없습니다.사람들 스스로도 그것을 원할 것입니다.그러면 OpenID 제공업체는 더 나은 서비스를 제공하기 위해 서로 경쟁하게 되며, 경쟁이 있는 경우 관련된 모든 사람에게 더 나은 가치가 제공될 것입니다.정말 멋진 아이디어인 것 같아요.

편집하다: 특정 제공업체의 가동 중지 시간과 관련하여OpenID 공급자 A가 100% 가동 시간을 제공할 자신이 없는 경우 다른 공급자 B의 도움을 받을 수 있으며 공급자 A의 사용자는 공급자 A가 제공하는 옵션 중에서 선택할 수 있습니다.사용자를 인증하기 위해 공급자 A로 이동하는 사이트는 공급자 A가 작동하지 않는 경우 어떤 다른 공급자로 이동해야 하는지 알 수 있습니다.이는 처음 로그인할 때 자동으로 데이터베이스에 저장됩니다.구현 세부 사항에 대해 브레인스토밍하고 싶은 사람이 있나요?:)