В чем преимущество использования ТОЛЬКО аутентификации OpenID на сайте?

Question

Из моего опыта с OpenID, я вижу ряд существенных минусов:

Добавляет Единая точка отказа на сайт
Это не сбой, который может быть устранен сайтом, даже если он обнаружен.Если провайдер OpenID не работает в течение трех дней, какие средства есть у сайта, чтобы позволить пользователям войти в систему и получить доступ к информации, которой они владеют?

Перенаправляет пользователя на контент другого сайта и каждый раз, когда он заходит на ваш сайт.
Даже если у провайдера OpenID нет ошибки, пользователь перенаправляется на свой сайт для входа в систему.На странице входа есть контент и ссылки.Таким образом, существует вероятность того, что пользователь действительно уйдет с сайта и отправится в кроличью нору Интернета.

Зачем мне отправлять своих пользователей на сайт другой компании?
[ Примечание:мой провайдер больше не делает этого и, кажется, исправил эту проблему (на данный момент).]

Добавляет нетривиальное количество времени к регистрации
Чтобы зарегистрироваться на сайте, новый пользователь должен прочитать новый стандарт, выбрать провайдера и зарегистрироваться.Стандарты — это то, с чем должны согласиться технические специалисты, чтобы обеспечить удобство взаимодействия с пользователем.Это не то, что следует навязывать пользователям.

Это мечта фишера
OpenID невероятно небезопасен, и украсть идентификатор человека при входе в систему очень легко.[взято из книги Дэвида Арно Отвечать ниже ]

---

Несмотря на все недостатки, есть и положительный момент: пользователи могут иметь меньше входов в Интернет.Если на сайте есть поддержка OpenID, пользователи, которым нужна эта функция, могут ее использовать.

Что я хотел бы понять:
Какую выгоду получает сайт от создания OpenID обязательный?

Answer 1

В списке недостатков не хватает самого очевидного:это мечта фишера.OpenID невероятно небезопасен, и украсть идентификатор человека при входе в систему очень легко.

Однако Мэтт Шеппард попадает в самую точку в ответе: преимущество использования только OpenID заключается в том, что это вызывает меньше хлопот для создателя сайта, поскольку не требуется обрабатывать имена пользователей и пароли и не требуется код создания учетной записи пользователя.

Answer 2

Преимущество обязательного использования OpenID заключается в том, что не нужно писать код входа на веб-сайт (кроме интеграции OpenID), и не нужно принимать никаких мер предосторожности в отношении хранения паролей пользователей и т. д.

Отсутствие собственного кода входа также означает, что вам не придется решать множество вопросов поддержки, таких как сброс утерянных паролей и т. д.

Конечно, большинство ваших недостатков обоснованы, так что я думаю, это становится компромиссом.

Что меня удивляет, так это то, что больше нет сайтов, которые устанавливают тесные отношения с конкретным провайдером OpenID, просто на этапе регистрации учетной записи, т.е.своего рода страница входа в систему «Вы можете использовать любой OpenID, который вам нравится, но вы также можете создать его прямо сейчас, введя имя пользователя, пароль и т. д.», которая автоматически создает для вас новую учетную запись у выбранного провайдера.

Answer 3

Это хороший способ передать часть вашей инфраструктуры на аутсорсинг.Вам не нужно беспокоиться о потерянных паролях и т. д., за вас это сделает кто-то другой.

Хотя я не уверен, что буду использовать его исключительно.Я недостаточно использовал OpenID, чтобы полностью ему доверять, и процесс регистрации необходимо упростить до тех пор, пока > 90% пользователей не получат OpenID.

Answer 4

Добавляет критическую точку отказа сайта.

Третий по величине идея пользовательского голоса для Stackoverflow заключается в том, чтобы разрешить смену поставщика OpenID.А в комментариях есть предложение разрешить ассоциировать больше, чем по OpenID.На сайтах, где с учетной записью может быть связано несколько OpenID, если ваш обычный провайдер OpenID не работает, вы все равно можете войти в систему с помощью другого провайдера (при условии, что вы уже связали его с сайтом).

Кроме того, это всего лишь критическая точка отказа для пользователей неработающего провайдера OpenID.Все остальные пользователи других провайдеров OpenID могут продолжать регистрировать его.Можно ожидать, что со временем пользователи перейдут к наиболее надежным поставщикам.

Перенаправляет пользователя на контент другого сайта и каждый раз, когда он заходит на ваш сайт.

Если вы настроили своего провайдера OpenID так, чтобы оно всегда доверяло сайту (или потребителю OpenID в номенклатуре), и вы уже вошли в систему своего провайдера OpenID, то они перенаправят вас прямо обратно на сайт, даже не видя сайта своего провайдера OpenID.

Добавляет непробное количество времени к регистрации

В настоящее время это может быть правдой, но, как сказал Андюк: «Это становится менее серьезной проблемой, чем больше сайтов поддерживают OpenID».Я ожидаю, что через несколько лет большинство пользователей уже будут иметь OpenID и будут знать, что это такое.

Answer 5

Одним из больших преимуществ использования только OpenID с инженерной точки зрения является то, что абстракция от части аутентификации учетных данных позволяет пользователям выбирать методы аутентификации, которые гораздо более сложны, чем те, которые вы бы потрудились создать для своего сайта.Да, некоторые провайдеры OpenID легко подвергаются фишингу.С другой стороны, другие пользователи OpenID входят в систему с помощью информационных карт, аппаратных токенов или проверки по телефону, и это учетные данные, которые не могу быть перехвачен и воспроизведен фишером.

В роли Гейба Вачоба положи это:

Люди, которые хотят внедрять инновации в методах аутентификации [...], НЕ обязательно должны быть теми же людьми, которые внедряют инновации в предложении услуг в Интернете (любой из миллиона людей, использующих Mediawiki, Drupal и т. д.).Это «разрыв связи» между инновациями в области аутентификации и инновациями в сфере услуг – вот что ценно в OpenID.

Таким образом, используя OpenID, вы можете предложить своим пользователям более надежные методы аутентификации.Абстракция позволяет реализовать один интерфейс, а затем выбрать любого поставщика для работы, независимо от того, используют ли они восьмизначные пароли в открытом виде или нейронные имплантаты типа «запрос-ответ».

Answer 6

Он побуждает пользователей регистрироваться в OpenID, узнавать о нем больше и, надеюсь, самим пропагандировать его.

Stack Overflow доказывает, что поддержка OpenID может работать.

«Добавляет критическую точку отказа на сайте»

В случае сбоя провайдера OpenID на сайте должен быть механизм, позволяющий пользователям входить в систему и добавлять/изменять провайдеров OpenID.Возможно, сайт мог бы отправить по электронной почте временную ссылку для обхода безопасности, чтобы пользователи могли получить доступ к своей учетной записи.

«Переводит пользователя на контент другого сайта и каждый раз, когда он заходит на ваш сайт»

Мой провайдер OpenID позволяет мне доверять определенному веб-сайту, поэтому мне не нужно даже просматривать его веб-сайт.

«Добавляет непробное количество времени к регистрации»

Это становится меньшей проблемой, чем больше сайтов поддерживают OpenID.

Answer 7

Как веб-разработчик, я большой поклонник идеи OpenID.Написание кода аутентификации — это заноза в заднице.Как веб-пользователь, я большой поклонник OpenID — для некритических целей, таких как SO, форумы и т. д. — потому что, как только у вас есть идентификатор, это очень простой способ присоединиться к сайту.

Я думаю, за исключением нескольких исключений — например, сообщества разработчиков — в настоящее время вы не можете принудительно использовать только OpenID.«Средний» веб-пользователь (что бы это ни значило) этого не понимает.Тем не менее, продвижение этой идеи на таком сайте повысит осведомленность разработчиков, и идея в конечном итоге распространится.Поскольку OpenID появляется на все большем количестве сайтов, люди будут изучать его, понимать, что он у них есть, а затем начинать его использовать.Для того чтобы OpenID (а это отличная идея) завоевал популярность, необходима критическая масса пользователей и сайтов, поддерживающих его.

В конце концов, все будет «так, как есть», и мы зададимся вопросом, почему мы вообще создавали код аутентификации для каждого созданного нами веб-сайта или почему мы создавали уникальную идентификацию везде, где бы мы ни находились в Интернете.

Answer 8

Как обсуждалось в одном из подкастов, это добавляет барьер для входа странника, задающегося вопросом, может ли это быть то место, где им следует размещать свои Yahoo!Отвечает на вопрос.

Это несколько элитарно, но, учитывая, в частности, направленность этого веб-сайта, вполне приемлемо отказать любому, кто не может разобраться в процессе Open ID, и любой, у кого действительно есть реальный вопрос, на который ему нужен ответ, может потрудиться разобраться с любым небольшое затруднение.

Answer 9

Из моего опыта работы с OpenID я вижу ряд существенных плюсов:

Если вы решите войти в систему с помощью доверенного провайдера OpenID, например.Verisign PIP+VIP вы можете воспользоваться преимуществами внешних механизмов аутентификации SecureID.Это следует рассматривать как главное преимущество, перевешивающее ВСЕ остальные.Вы больше не доверяете какой-то дрянной аутентификации на основе форм на сайте, к которому вы обращаетесь, вы доверяете Verisign VIP или любому другому поставщику OpenID по вашему выбору.

Интернет-кроличья нора?Звучит как плохая реализация, и я, например, не знаю, о чем вы говорите.

Вы не можете легко украсть данные аутентификации, это может быть почти невозможно, чем то, что у нас уже есть!Возможно, вам удастся обмануть меня, заставив думать, что я связываюсь со своим провайдером, но у Verisign, например, есть возможность не разрешать или не принимать перенаправления.Я также считаю эти проблемы с фишингом чем-то тривиальным, особенно если вы сопоставите их с преимуществами внешних механизмов аутентификации, которые вы можете получить через своего провайдера аутентификации OpenID.Допустим, вы однажды выманили данные ключа RSA, и в следующий раз они будут недействительны или, возможно, просто бесполезны, если вы скажете «использовать сертификат браузера».

В заключение отметим, что OpenID — это всего лишь развитие нынешней системы, адрес электронной почты для проверки.Если ваша учетная запись электронной почты является вашей текущей единственной точкой отказа, тогда да, ваш OpenID может стать вашей новой единственной точкой отказа в случае, когда OpenID, который вы контролируете, больше не находится под вашим контролем.Итак, если вы доверяете только своему почтовому серверу, просто разместите свой собственный URL-адрес OpenID.Если вы доверяете Gmail, используйте URL-адрес Gmail для своего OpenID, потому что по той же причине вы уже доверяете Gmail как системе единого входа, поскольку ваша учетная запись Gmail в конечном итоге может получить пароли вашей учетной записи.

Это несложно, но я вижу, что у некоторых людей могут возникнуть трудности с пониманием основных концепций механизмов аутентификации.Если я МОГУ войти с помощью своей карты SecureID (через моего провайдера OpenID) на сайт, на котором у меня есть учетная запись, Я БЫЛ.Так что если это был единственный вариант, я бы его выбрал!

Answer 10

Добавляет критическую точку отказа на сайт

Критической точкой сбоя может быть отправленное вами электронное письмо с подтверждением, но почтовый ящик пользователя а) недоступен из-за опечатки, б) заполнен или в) провайдер не работает.

Перенаправляет пользователя на контент другого сайта и каждый раз, когда он заходит на ваш сайт.

Я это понимаю, но ИМХО - это не так уж и плохо.Я имею в виду, Ю!Кажется, это один из самых загроможденных входов в систему, и у меня он тоже никогда не работает.;) Кроме того, большинство провайдеров OpenID выглядят не так уж и плохо (пока).

Также помните о своей аудитории.Если вашими пользователями являются мама и папа, OpenID, вероятно, чертовски сбивает с толку.Но в Интернете, вероятно, так много.В случае с SO люди являются довольно сообразительными пользователями и знают, чего хотят.

Добавляет непробное количество времени к регистрации

Это не проблема.Посмотрите список провайдеров:http://openid.net/get/

У многих людей есть хотя бы Yahoo!аккаунт, так что если это действительно сработало.Это было бы не так уж плохо.Однако я согласен, что если у пользователя нет OpenID и он не знает, для чего он нужен.Их не так-то просто обучить.

И подумайте о значении - «чтобы зарегистрироваться на сайте А, вам нужно зарегистрироваться на сайте Б».И мы все знаем, что регистрация сама по себе — это заноза в заднице.Но в долгосрочной перспективе OpenID пытается решить именно эту проблему.

В настоящее время я не вижу смысла делать OpenID обязательным.Хотя мне это нравится как дополнение.Как люди предоставляют ссылки на «Войти через Facebook» и т. д.Тогда людям, которые этого не понимают (или им все равно), не о чем беспокоиться.Но другие все равно могут его использовать.

Answer 11

OpenID, может быть, и является величайшей вещью со времен нарезанного хлеба, но у меня не было причин доверять «им» свою личность — кроме Джеффа Этвуда/Джоэла Спольски, который заставил меня сделать это, чтобы жаловаться на это ;-)

Answer 12

Еще следует упомянуть одну вещь.У вас уже есть база пользователей с OpenID, им просто нужно войти.

Answer 13

Я за OpenID, главным образом с точки зрения простоты использования.Я по-прежнему убежден в его безопасности, но у него большой потенциал.По этому поводу можно много чего сказать, но я просто хотел ответить на следующие два момента:

Добавляет нетривиальное количество времени в регистрацию

Устанавливается только первый раз.Кроме того, теперь, когда такие компании, как Yahoo, предоставляют поддержку, многим людям даже не придется беспокоиться о настройке OpenID, если они этого не захотят.Если бы вы использовали Google или кого-то похожего в качестве вашего провайдера OpenID, считали бы вы их небезопасными по своей сути?И как часто вы ожидаете, что у них будет простой?

Это мечта фишера

Я допускаю, что отчасти это может быть правдой.Но не является ли фишинг скорее социальной проблемой, чем технологической?OpenID мог бы упростить задачу, но это не исключает того факта, что настоящая проблема — это пользователь.Гораздо важнее информировать пользователей о том, как действуют фишеры, чем пытаться защитить их с помощью технологий.

Answer 14

По крайней мере, OpenID отправит вас к вашему провайдеру OpenID для входа в систему.
Я читал блог на blogspot, и там есть ссылка, по которой можно подписаться на этот блог (предположительно, сообщите мне, когда появятся новые сообщения), для этого появляется всплывающее окно с запросом моего имени пользователя и пароля Gmail.

Даже если предположить, что это подлинный, а не фишинговый сайт - теперь у них (потенциально) есть логин к моему Gmail, моим документам Google, моим приложениям Google - всему!

Answer 15

Основное преимущество наличия OpenID будет видно в долгосрочной перспективе.Вместо того, чтобы подавать заявку на разные сайты для получения удостоверения, вы делаете это один раз, а затем используете его на всех сайтах, которым требуется уникальное удостоверение.Конечно, для безопасных сайтов, таких как банковское дело и торговля, потребуется совсем другое мышление.Но для сайтов социальных сетей и тому подобного вы можете легко использовать его.

Маме и папе тоже будет легко, потому что теперь им нужно запомнить только одно имя пользователя и пароль.Часто нам становится трудно запомнить, какой логин на каком сайте у нас есть, и в конечном итоге использовать правильное имя пользователя/пароль сайта А на сайте Б.OpenID решит эту проблему.Кроме того, это хорошая модель дохода для поставщика и пользователя OpenID.Я могу ввести одному такому провайдеру все данные, которые я готов предоставить, и за каждую такую ​​информацию я могу заработать деньги.

Возможно, провайдер сможет уговорить меня рассказать о себе больше, используя это в качестве стимула, а затем продать это сайтам, на которых я регистрируюсь.Итак, сайт А платит OpenID за мою информацию.Затем OpenID передает мне часть этой информации.Сайту А не нужно управлять пользователями, OpenID получает деньги, пользователь получает деньги, все довольны :)

Таким образом, вам не придется делать OpenID обязательным.Люди сами захотят этого.Поставщики OpenID тогда будут конкурировать между собой за предоставление более качественных услуг, а там, где есть конкуренция, все заинтересованные стороны получат большую выгоду.Я думаю, это потрясающая идея.

Редактировать: По поводу простоев у одного конкретного провайдера;Если провайдер OpenID A не уверен в обеспечении 100% времени безотказной работы, он может воспользоваться помощью другого провайдера B, а пользователь провайдера A может выбирать из вариантов, которые предоставляет провайдер A.Сайт, который обращается к провайдеру А для аутентификации пользователя, будет знать, к каким другим провайдерам обращаться, если провайдер А не работает.Это будет автоматически сохранено в базе данных при первом входе в систему.Кто-нибудь хочет обсудить детали реализации?:)