Qual é a vantagem de usar SOMENTE a autenticação OpenID em um site?

Question

Da minha experiência com OpenID, vejo uma série de desvantagens significativas:

Adiciona um Ponto unico de falha para o site
Não é uma falha que possa ser corrigida pelo site mesmo que detectada.Se o provedor OpenID ficar fora do ar por três dias, que recurso o site terá para permitir que seus usuários façam login e acessem as informações de sua propriedade?

Leva um usuário ao conteúdo de outro site e sempre que ele faz login no seu site
Mesmo que o provedor OpenID não apresente erro, o usuário é redirecionado ao seu site para fazer login.A página de login possui conteúdo e links.Portanto, há uma chance de um usuário ser realmente afastado do site e cair na toca do coelho da Internet.

Por que eu iria querer enviar meus usuários para o site de outra empresa?
[ Observação:meu provedor não faz mais isso e parece ter resolvido o problema (por enquanto).]

Adiciona uma quantidade de tempo nada trivial à inscrição
Para se inscrever no site, um novo usuário é forçado a ler um novo padrão, escolher um provedor e se inscrever.Os padrões são algo com que o pessoal técnico deve concordar para tornar a experiência do usuário sem atritos.Eles não são algo que deva ser imposto aos usuários.

É o sonho de um phisher
OpenID é incrivelmente inseguro e roubar a identidade da pessoa durante o login é trivialmente fácil.[retirado de David Arno's Responder abaixo ]

---

Apesar de todas as desvantagens, a única vantagem é permitir que os usuários tenham menos logins na Internet.Se um site tiver optado pelo OpenID, os usuários que desejarem esse recurso poderão usá-lo.

O que eu gostaria de entender é:
Qual o benefício que um site obtém ao criar OpenID obrigatório?

Answer 1

A lista de desvantagens deixa de lado a mais óbvia:é o sonho de um phisher.OpenID é incrivelmente inseguro e roubar a identidade da pessoa durante o login é trivialmente fácil.

Matt Sheppard acerta em cheio na resposta: o benefício de usar apenas OpenID é que envolve menos problemas para o criador do site, pois não há nomes de usuário e senhas para manipular e nenhum código de criação de conta de usuário é necessário.

Answer 2

A vantagem de tornar o OpenID obrigatório é simplesmente que o código de login do site não precisa ser escrito (além da integração do OpenID) e nenhuma precaução precisa ser tomada ao armazenar senhas de usuários, etc.

Não ter seu próprio código de login também significa não ter que lidar com muitos problemas de suporte, como redefinição de senhas perdidas, etc.

Certamente a maioria das suas desvantagens são válidas, então acho que isso se torna uma troca.

O que me surpreende é que não há mais sites formando um relacionamento próximo com um provedor OpenID específico do que simplesmente a fase de inscrição da conta - ou seja,algum tipo de página de login 'Você pode usar qualquer OpenID que desejar, mas também pode criar um agora mesmo digitando um nome de usuário e senha, etc', que cria automaticamente uma nova conta com o provedor selecionado para você.

Answer 3

É uma boa forma de terceirizar uma parte da sua infraestrutura.Você não precisa se preocupar com senhas perdidas, etc., outra pessoa faz isso por você.

Não tenho certeza se o usaria exclusivamente.Não usei o OpenID o suficiente para confiar totalmente nele, e o processo de inscrição precisa ser simplificado até que mais de 90% dos usuários tenham um OpenID.

Answer 4

Adiciona um ponto crítico de falha ao site

O terceiro mais alto ideia sobre uservoice para Stackoverflow é permitir a alteração do provedor OpenID.E nos comentários há a sugestão de permitir associar mais do que no OpenID.Em sites onde vários OpenIDs podem ser associados a uma conta, se o seu provedor OpenID habitual estiver inativo, você ainda poderá fazer login com outro provedor (supondo que você já o tenha associado ao site).

Além disso, é apenas um ponto crítico de falha para usuários do provedor OpenID que não está funcionando.Todos os outros usuários de outros provedores OpenID podem continuar a registrá-lo.Com o tempo, você esperaria que os usuários migrassem para os provedores mais confiáveis.

Leva um usuário ao conteúdo de outro site e sempre que ele faz login no seu site

Se você configurou seu provedor OpenID para sempre confiar em um site (ou consumidor OpenID na nomenclatura) e já estiver conectado ao seu provedor OpenID, eles o redirecionarão diretamente de volta ao site, sem que você veja o site do provedor OpenID.

Adiciona um período de tempo sem avaliação à inscrição

Atualmente isso pode ser verdade, mas como disse Andyuk, "Isso se torna um problema menor quanto mais sites suportam OpenID".Espero que dentro de alguns anos a maioria dos usuários já tenha um OpenID e saiba o que é.

Answer 5

Um dos grandes benefícios de usar apenas OpenID do ponto de vista da engenharia é que abstrair a parte de autenticação de credenciais permite que os usuários escolham métodos de autenticação que são muito mais sofisticados do que qualquer coisa que você se preocuparia em construir para o seu site.Sim, alguns provedores OpenID são facilmente fraudados.Por outro lado, outros usuários do OpenID fazem login com cartões de informações, tokens de hardware ou verificação telefônica, e essas são credenciais que não pode ser capturado e reproduzido por um phisher.

Como Gabe Wachob colocá-lo:

As pessoas que querem inovar nos métodos de autenticação [...] NÃO precisam ser as mesmas pessoas que inovam na oferta de serviços na web (qualquer um entre um milhão de pessoas executando Mediawiki, Drupal, etc).Essa “desvinculação” entre inovação em autenticação e inovação em serviços é o que há de valioso no OpenID.

Portanto, ao usar o OpenID, você pode oferecer aos seus usuários métodos de autenticação mais fortes.A abstração permite implementar uma interface e, em seguida, você pode escolher qualquer provedor com o qual trabalhar, quer eles usem senhas de oito caracteres em texto não criptografado ou implantes neurais de resposta a desafios.

Answer 6

Ele incentiva os usuários a se inscreverem no OpenID, descobrirem mais sobre ele e, esperançosamente, evangelizá-lo eles próprios.

Stack Overflow prova que apenas o suporte ao OpenID pode funcionar.

"Adiciona ponto crítico de falha ao site"

No caso de um provedor OpenID não funcionar, o site deve ter um mecanismo para permitir que os usuários façam login e adicionem/alterem provedores OpenID.Talvez o site possa enviar por e-mail um link temporário para contornar a segurança e permitir que os usuários acessem suas contas.

"Leva o usuário ao conteúdo de outro site e sempre que ele faz login no seu site"

Meu provedor OpenID me permite confiar em um determinado site, então não preciso nem visualizar o site deles.

"Adiciona um período de tempo sem avaliação à inscrição"

Isso se torna um problema menor quanto mais sites suportam OpenID.

Answer 7

Como desenvolvedor web, sou um grande fã da ideia do OpenID.Escrever código Auth é um pé no saco.Como usuário da web, sou um grande fã do OpenID - para usos não críticos como SO, fóruns, etc. - porque, depois de ter o ID, é uma maneira muito simples de ingressar em um site.

Eu acho que, fora algumas exceções - como uma comunidade para desenvolvedores - neste momento, você não pode forçar apenas o OpenID.O usuário "médio" da web (seja lá o que isso signifique) não entende.No entanto, promovê-lo em um site como este aumenta a conscientização entre os desenvolvedores, e a ideia acabará se espalhando.À medida que o OpenID aparece em mais e mais sites, as pessoas irão procurá-lo, perceberão que têm um e então começarão a usá-lo.Para que o OpenID – que é uma ótima ideia – seja popularizado, é necessário que haja uma massa crítica de usuários e sites que o apoiem.

Eventualmente, será apenas “do jeito que é”, e nos perguntaremos por que criamos um código de autenticação para cada site que criamos, ou por que criaríamos uma identidade única em todos os lugares que visitamos a Web.

Answer 8

Conforme discutido em um dos podcasts, isso adiciona uma barreira à entrada do andarilho, perguntando-se se este seria o lugar onde ele deveria postar seu Yahoo!Responde à pergunta.

É um tanto elitista, mas dado o foco deste site em particular, é bastante aceitável rejeitar qualquer um que não consiga entender o processo Open ID, e qualquer pessoa que realmente tenha uma pergunta real que precisa ser respondida pode se dar ao trabalho de resolver qualquer problema. ligeira dificuldade.

Answer 9

Pela minha experiência com OpenID, vejo uma série de vantagens significativas:

Se você optar por fazer login com seu provedor OpenID confiável, por exemplo.Verisign PIP+VIP você pode aproveitar os benefícios dos mecanismos de autenticação SecureID fora de banda.Este deve ser visto como o principal benefício que supera TODOS os outros.Você não está mais confiando em qualquer autenticação baseada em formulário de baixa qualidade que esteja no site que você acessa, você está confiando no Verisign VIP ou em qualquer que seja sua escolha de provedor OpenID.

Toca de coelho na Internet?Parece uma implementação ruim e eu, pelo menos, não sei a que você está se referindo.

Você não pode roubar detalhes de autenticação facilmente, isso pode ser quase impossível do que o que já temos!Você pode me fazer pensar que estou entrando em contato com meu provedor, mas a Verisign, por exemplo, tem a opção de não permitir ou aceitar redirecionamentos.Eu também vejo esses problemas de phishing como algo trivial, especialmente se você comparar isso com os benefícios dos mecanismos de autenticação fora de banda que você pode obter por meio de seu provedor de autenticação OpenID.Então, digamos que você tenha fraudado detalhes da chave RSA uma vez, não seria válido na próxima vez ou talvez totalmente inútil se você dissesse para usar um certificado de navegador.

Concluindo, OpenID é apenas a evolução do sistema atual, um endereço de e-mail para verificação.Se sua conta de e-mail é seu ponto único de falha atual, então sim, seu OpenID pode ser seu novo ponto único de falha caso o OpenID que você controla não esteja mais sob seu controle.Portanto, se você confia apenas no seu servidor de e-mail, simplesmente hospede seu próprio URL OpenID.Se você confia no Gmail, use um URL do Gmail para seu OpenID porque, da mesma forma, você já confia no Gmail como seu SSO, pois sua conta do Gmail pode recuperar as senhas de sua conta.

É óbvio, mas posso ver que algumas pessoas podem ter dificuldade em entender os conceitos básicos dos mecanismos de autenticação.Se eu pudesse fazer login com meu cartão SecureID (através do meu provedor OpenID) em um site no qual tenho uma conta, eu faria.Então, se fosse a única opção, eu aceito!

Answer 10

Adiciona ponto crítico de falha ao site

Esse ponto crítico de falha pode ser o e-mail de confirmação que você envia, mas a caixa de correio do usuário está a) indisponível devido a um erro de digitação, b) cheia ou c) o provedor está 'inativo'.

Leva um usuário ao conteúdo de outro site e sempre que ele faz login no seu site

Eu posso ver isso, mas IMHO – isso não é tão ruim.Quero dizer, Y!parece ser um dos logins mais confusos e também nunca funciona para mim.;) Além disso, a maioria dos provedores de OpenID não parece tão ruim (ainda).

Além disso, mantenha seu público em mente.Se a mãe e o pai são seus usuários, o OpenID provavelmente é muito confuso.Mas provavelmente também há muito na Internet.No caso do SO, as pessoas são usuários um tanto experientes e sabem o que querem.

Adiciona um período de tempo sem avaliação à inscrição

Isto não é um problema.Veja a lista de fornecedores:http://openid.net/get/

Muitas pessoas têm pelo menos um Yahoo!conta, então se realmente funcionou.Não seria tão ruim.Concordo, porém, que se um usuário não tiver OpenID e não souber para que serve.Não é tão fácil educá-los.

E pense na implicação - “para se cadastrar no site A, você precisa se cadastrar no site B”.E todos nós sabemos que registrar-se por si só é um pé no saco.Mas, no longo prazo, é exatamente isso que o OpenID tenta resolver.

No mainstream, atualmente não vejo valor em tornar o OpenID obrigatório.Eu gosto disso como um complemento.Exatamente como as pessoas fornecem links para “fazer login com seu Facebook”, etc.Então as pessoas que não entendem (ou não se importam) não precisam se preocupar.Mas outros ainda podem usá-lo.

Answer 11

OpenID pode ser a melhor coisa desde o pão fatiado, mas não tive nenhuma razão para confiar minha identidade a "eles" - a não ser que Jeff Atwood/Joel Spolsky me obrigou a fazer isso para estar aqui reclamando ;-)

Answer 12

Uma coisa a mencionar também.Você já possui uma base de usuários com OpenID, basta fazer o login.

Answer 13

Sou a favor do OpenID, principalmente do ponto de vista da facilidade de uso.Ainda não estou convencido sobre sua segurança, mas tem muito potencial.Há muitas coisas que poderiam ser ditas sobre isso, mas eu só queria responder aos dois pontos a seguir:

Adiciona uma quantidade de tempo não trivial à inscrição

Somente na primeira vez que é configurado.Além disso, com empresas como o Yahoo fornecendo suporte agora, muitas pessoas nem precisarão se preocupar em configurar um OpenID se não quiserem.Se você usasse o Google ou alguém semelhante como seu provedor OpenID, você os consideraria inerentemente inseguros?E com que frequência você esperaria que eles tivessem tempo de inatividade?

É o sonho de um phisher

Aceito que isso possa ser parcialmente verdade.Mas o phishing não é mais um problema social do que tecnológico?O OpenID poderia facilitar, mas isso não elimina o fato de que o verdadeiro problema é o usuário.É muito mais importante conscientizar os usuários sobre como os phishers operam do que tentar protegê-los com segurança por meio da tecnologia.

Answer 14

Pelo menos o OpenID envia você ao seu provedor OpenID para fazer login.
Eu estava lendo um blog no blogspot e há um link para seguir este blog (provavelmente me avise quando houver novas postagens). Para fazer isso, aparecerá uma caixa solicitando meu nome de usuário e senha do Gmail.

Mesmo supondo que isso seja genuíno e não um site de phishing - eles agora (potencialmente) têm o login do meu Gmail, dos meus documentos do Google, dos meus aplicativos do Google - tudo!

Answer 15

O principal benefício de ter um OpenID será visto a longo prazo.Em vez de ter que solicitar uma identidade em sites diferentes, você faz isso uma vez e depois a usa em todos os sites que exigem uma identidade exclusiva.É claro que para sites seguros, como bancos e negociações, será necessário um tipo de pensamento totalmente diferente.Mas para sites de redes sociais e similares, você pode usá-lo facilmente.

Mamãe e papai também acharão isso fácil porque agora eles precisam lembrar apenas um nome de usuário/senha.Muitas vezes fica difícil lembrar qual login temos em qual site e acabamos usando o nome de usuário/senha correto do Site A no Site B.OpenID resolverá isso.Além disso, é um bom modelo de receita para um provedor e usuário OpenID.Posso fornecer a um desses provedores todos os detalhes que estou disposto a fornecer e, com cada detalhe que for fornecido, posso ganhar dinheiro.

Talvez o provedor possa me convencer a contar mais sobre mim usando isso como um incentivo, que poderá então vender para os sites nos quais me registro.Portanto, o Site A paga OpenID pelas minhas informações.O OpenID então passa uma parte disso para mim.O site A não precisa gerenciar usuários, o OpenID ganha dinheiro, o usuário ganha dinheiro, todo mundo fica feliz :)

Dessa forma, você não precisará tornar o OpenID obrigatório.As próprias pessoas vão querer isso.Os fornecedores de OpenID competirão entre si para fornecer melhores serviços e, onde houver concorrência, será fornecido melhor valor a todos os envolvidos.Acho que é uma ideia fabulosa.

Editar: Em relação a tempos de inatividade em um determinado fornecedor;se o provedor OpenID A não estiver confiante em fornecer 100% de tempo de atividade, ele pode precisar da ajuda de outro provedor B, e o usuário do provedor A pode escolher entre as opções que o provedor A oferece.O site que vai ao provedor A para autenticar um usuário saberá quais outros provedores acessar caso o provedor A não esteja funcionando.Isso será armazenado em seu banco de dados no primeiro login automaticamente.Alguém quer debater os detalhes da implementação?:)