В чем преимущество использования ТОЛЬКО аутентификации OpenID на сайте?

Ответ 1

Список минусов пропустит самый очевидный: это меч фишер. OpenID невероятно небезопасен и крадет идентификатор человека при входе в систему. Это просто трилогично.

Мэтт Шеппард бьет по гвоздю по голове, но ответ на этот вопрос объясняется тем, что преимущество OpenID заключается в том, что для создателя сайта требуется меньше хлопот, так как нет имен пользователей и паролей для обработки и никакого кода создания учетной записи пользователя.

Ответ 2

Преимущество принудительного использования OpenID заключается в том, что код входа для веб-сайта не должен быть написан (помимо интеграции OpenID), и никакие меры предосторожности не должны предприниматься при хранении паролей пользователей и т.д.

Отсутствие собственного кода входа также означает отсутствие необходимости иметь дело с множеством проблем с поддержкой, таких как сброс потерянных паролей и т.д.

Конечно, большинство ваших недостатков действительны, поэтому я думаю, что это становится компромиссом.

Что меня удивляет, так это то, что на сайтах, которые не поддерживают тесные отношения с конкретным провайдером OpenID, не существует просто фаза регистрации аккаунта, т.е. какая-то "вы можете использовать любой OpenID, который вам нравится, но вы также можете создать его прямо сейчас путем ввода учетной записи пользователя и пароля и т.д., которая автоматически создает для вас новую учетную запись с выбранным поставщиком.

Ответ 3

Это хороший способ передать часть вашей инфраструктуры. Вам не нужно беспокоиться о потерянных паролях и т.д., Кто-то другой делает это за вас.

Я не уверен, что буду использовать его исключительно. Я не использовал OpenID достаточно, чтобы полностью доверять ему, и процесс регистрации должен быть оптимизирован до тех пор, пока 90% пользователей не будут иметь OpenID.

Ответ 4

Добавляет критическую точку для отказа на сайте

Третьей самой высокой идеей для uservoice для Stackoverflow является разрешение изменения поставщика OpenID. И в комментариях есть предложение разрешить ассоциировать больше, чем с OpenID. На сайтах, где несколько OpenID могут быть связаны с учетной записью, если ваш обычный поставщик OpenID недоступен, вы все равно можете войти в систему с другим провайдером (если вы уже связали его с сайтом).

Кроме того, это только критическая точка отказа для пользователей провайдера OpenID, которая не работает. Все остальные пользователи других провайдеров OpenID могут продолжать его регистрировать. Со временем вы ожидаете, что пользователи перейдут на наиболее надежных поставщиков.

Принимает пользователя на другой контент сайта и каждый раз, когда вы заходите на свой сайт

Если вы установили свой провайдер OpenID, чтобы всегда доверять сайту (или потребителю OpenID в номенклатуре), и вы уже вошли в ваш поставщик OpenID, они перенаправляют вас прямо на сайт, даже если вы не видите свой OpenID провайдеров.

Добавляет внесудебное количество времени для регистрации

В настоящее время это может быть правдой, но, как сказал andyuk, "это становится менее проблемой, чем больше сайтов, поддерживающих OpenID". Я бы ожидал, что через несколько лет у большинства пользователей уже будет OpenID и он будет знать, что это такое.

Ответ 5

Одним из больших преимуществ перехода OpenID только с технической точки зрения является то, что абстрагирование части аутентификации учетных данных позволяет пользователям выбирать методы проверки подлинности, которые намного сложнее, чем все, что вы хотели бы построить для своего сайта. Да, некоторые провайдеры OpenID легко фишируются. С другой стороны, другие пользователи OpenID регистрируются в информационных карточках, аппаратных токенах или проверке телефона, и это учетные данные, которые невозможно захватить и воспроизвести фишером.

Как Гейб Вахоб поставьте его:

Люди, которые хотят внедрять методы аутентификации [...], не обязательно должны быть теми же людьми, которые внедряют инновации в предоставлении услуг в Интернете (любой из миллионов людей, работающих с Mediawiki, Drupal и т.д.). Это "дезинтезирование" инноваций в области аутентификации и инноваций в сфере услуг является ценным в OpenID.

Таким образом, используя OpenID, вы можете предложить своим пользователям более надежные методы проверки подлинности. Абстракция позволяет реализовать один интерфейс, а затем вы можете выбрать любого поставщика, с которым можно работать, независимо от того, используют ли они пароли из восьми символов в cleartext или нейронных имплантатах с ответными реакциями.

Ответ 6

Он поощряет пользователей подписываться на OpenID, узнавать больше об этом и, надеюсь, сами его евангелизировать.

Qaru доказывает, что поддержка OpenID может работать.

"Добавляет критический пункт к отказу сайта"

Если поставщик OpenID не работает, сайт должен иметь механизм, позволяющий пользователям входить в систему и добавлять/изменять поставщиков OpenID. Возможно, сайт может отправить временную ссылку для обхода безопасности, чтобы пользователи могли получить доступ к своей учетной записи.

"Заставляет пользователя добавлять содержимое других сайтов и каждый раз, когда вы заходите на свой сайт"

Мой провайдер OpenID позволяет мне доверять данному сайту, поэтому мне не нужно даже просматривать их веб-сайт.

"Добавляет внесудебное количество времени для регистрации"

Это становится менее проблемой, чем больше сайтов, поддерживающих OpenID.

Ответ 7

Как веб-разработчик, я большой поклонник идеи OpenID. Написание кода Auth - это боль в заднице. Как веб-пользователь, я большой поклонник OpenID - для некритических видов использования, таких как SO, форумы и т.д. - потому что, как только у вас есть идентификатор, это очень простой способ присоединиться к сайту.

Я думаю, что за пределами нескольких исключений - как сообщество для разработчиков - в настоящее время вы не можете принудительно использовать OpenID. "Средний" пользователь сети (независимо от того, что это означает) не получает его. Тем не менее, продвижение его на подобном сайте повышает осведомленность разработчиков, и эта идея в конечном итоге просочится. Поскольку OpenID появляется на все более и более сайтах, люди будут смотреть на него, понимать, что они есть, и затем начать использовать его. Для того, чтобы OpenID - это отличная идея - уловить, должна быть критическая масса пользователей и сайтов, поддерживающих ее.

В конце концов, это будет просто "так, как есть", и мы зададимся вопросом, почему мы когда-либо создавали код аутентификации для каждого отдельного веб-сайта, который мы создали, или почему мы создали бы уникальную идентификационную информацию везде, где мы ходили в Интернете

Ответ 8

Как обсуждалось в одном из подкастов, он добавляет барьер для входа в странника, который возникает, задаваясь вопросом, может ли это быть там, где они должны размещать свой Yahoo! Ответы на вопрос.

Это несколько элитарно, но с учетом фокуса этого веб-сайта, в частности, вполне приемлемо отвергнуть тех, кто не может понять процесс Open ID, и любой, у кого действительно есть реальный вопрос, на который они нуждаются, может быть обеспокоен работать через небольшие трудности.

Ответ 9

Из моего опыта работы с OpenID я вижу ряд существенных проблем:

Если вы решите войти в систему с помощью доверенного поставщика OpenID, например. Verisign PIP + VIP вы можете пользоваться преимуществами механизмов проверки подлинности SecureID. Это следует рассматривать как основное преимущество, которое перевешивает ВСЕ другие. Вы больше не доверяете какой-либо проверке подлинности на основе жесткой формы на доступном вами сайте, вы доверяете Verisign VIP или независимо от вашего выбора поставщика OpenID.

Интернет-кроличья дыра? Звучит как плохая реализация, и я не знаю, о чем вы говорите.

Вы не можете легко украсть аутентификацию, ее можно сделать максимально возможной, чем то, что у нас уже есть! Вы можете обмануть меня, думая, что я обращаюсь к своему провайдеру, но Verisign для одного имеет возможность не разрешать или принимать перенаправления. Я рассматриваю эти проблемы фишинга как нечто тривиальное, особенно снова, если вы взвесили его против преимуществ внешних механизмов аутентификации, которые вы можете получить через своего провайдера аутентификации OpenID. Так скажите, что вы уточнили детали ключа RSA один раз, это было бы неверно в следующий раз или, может быть, просто бесполезно, если бы вы сказали, что используете сертификат браузера.

В заключение, OpenID - это всего лишь эволюция текущей системы, адрес электронной почты для проверки. Если ваша учетная запись электронной почты является вашей текущей единственной точкой отказа, то да, ваш OpenID может быть вашей новой единственной точкой отказа в случае, когда OpenID, который вы контролируете, больше не находится под вашим контролем. Поэтому, если вы доверяете только своему почтовому серверу, просто разместите свой собственный URL OpenID. Если вы доверяете Gmail, используйте URL-адрес gmail для своего OpenID, потому что тем же маркером вы уже доверяете Gmail как ваш SSO, так как ваша учетная запись gmail может в конечном счете восстановить пароли вашей учетной записи.

Это не проблема, но я вижу, что некоторым людям может быть трудно понять основные понятия механизмов аутентификации. Если я МОЖЕТ войти с моей SecureID-картой (через моего провайдера OpenID) на сайт, на котором у меня есть учетная запись, я БУДУ. Если бы это был единственный вариант, я возьму его!

Ответ 10

Добавляет критическую точку к отказу сайта

Эта критическая точка отказа может быть отправлением электронной почты подтверждения, но почтовый ящик пользователя a) недоступен из-за опечатки, b) полный или c) провайдер "вниз".

Принимает пользователя на другой контент сайта и каждый раз, когда вы заходите на свой сайт

Я вижу это, но ИМХО - это не так уж плохо. Я имею в виду, Y! кажется, является одним из самых загроможденных логинов, и он также никогда не работает для меня.;) Кроме того, большинство поставщиков OpenID не выглядят так плохо (пока).

Кроме того, запомните свою аудиторию. Если мама и поп - ваши пользователи, OpenID, вероятно, сбивает с толку. Но это, вероятно, много в Интернете. В случае с SO люди, люди с некоторой осторожностью и знают, чего они хотят.

Добавляет внесудебное количество времени для регистрации

Это не проблема. Посмотрите список поставщиков: http://openid.net/get/

У многих людей есть как минимум Yahoo! учетной записи, поэтому, если она действительно работает. Это было бы не так уж плохо. Я согласен с тем, что если у пользователя нет OpenID и он не знает, для чего он нужен. Нелегко их просвещать.

И подумайте о импликации - "для регистрации на сайте A вам необходимо зарегистрироваться на сайте B". И все мы знаем, что регистрация сама по себе - это боль в заднице. Но в конечном итоге это также то, к чему стремится OpenID.

В mainstream я в настоящее время не вижу никакой ценности для того, чтобы сделать OpenID обязательным. Тем не менее, мне нравится это как дополнение. Просто, как люди предоставляют ссылки на "логин с вашим Facebook" и т.д. Тогда людям, которые не получают его (или не заботятся), не нужно беспокоиться. Но другие могут все еще использовать его.

Ответ 11

OpenID может быть самой большой вещью с нарезанного хлеба, но мне не было причин доверять "их" моей личностью - кроме Джеффа Этвуда/Джоэла Спольски заставлял меня делать это, чтобы быть здесь, жалуясь на это; )

Ответ 12

Одно можно упомянуть. У вас уже есть база данных с OpenID, им просто нужно войти в систему.

Ответ 13

Я сторонник OpenID, в основном, с точки зрения простоты использования. Я по-прежнему убежден в безопасности, но у него есть большой потенциал. Есть много вещей, которые можно было бы сказать по этому поводу, но я просто хотел ответить на следующие два момента:

Добавляет нетривиальное количество времени для регистрация

Только в первый раз. Кроме того, с такими компаниями, как Yahoo, предоставляющим поддержку сейчас, многим людям даже не придется беспокоиться о настройке OpenID, если они этого не хотят. Если вы использовали Google или кого-то, аналогичный вашему провайдеру OpenID, вы бы считали их неотъемлемо небезопасными? И как часто вы ожидаете, что у них будет время простоя?

Это мечта Фишера

Я согласен, что это может быть отчасти верно. Но фишинг не является скорее социальной проблемой, чем технологической? OpenID мог бы сделать это проще, но это не устраняет тот факт, что реальной проблемой является пользователь. Гораздо важнее информировать пользователей о том, как работают фишеры, чем пытаться безопасно охранять их с помощью технологий.

Ответ 14

Как минимум OpenID отправляет вас на ваш провайдер OpenID для входа в систему.
Я читал блог на blogspot, и есть ссылка, чтобы следить за этим блогом (предположительно, скажите мне, когда есть newposts), чтобы сделать это, он выдает окно с просьбой указать имя пользователя и пароль Gmail.

Даже если предположить, что это подлинный, а не фишинговый сайт, теперь они (потенциально) имеют логин для моего Gmail, моих документов Google, моих приложений Google - все!

Ответ 15

Основное преимущество наличия OpenID будет видно в долгосрочной перспективе. Вместо того, чтобы обращаться к другим сайтам для идентификации, вы делаете это один раз, а затем используете его на всех сайтах, для которых требуется уникальная идентификация. Конечно, для безопасных сайтов, таких как банковское дело и торговля, для этого потребуется совсем другое мышление. Но для сайтов социальных сетей и т.п. Вы можете легко использовать его.

Мама и папа тоже посчитают это легким, потому что теперь им нужно запомнить только одно имя пользователя/пароль. Много раз нам стало сложно запоминать, какие логины у нас есть на каком сайте, и в конечном итоге использовать правильное имя пользователя/пароль сайта A на сайте B. OpenID решит это. Кроме того, это хорошая модель дохода для провайдера и пользователя OpenID. Я могу указать одному из таких поставщиков все детали, которые я готов дать, и каждая такая деталь, которую я даю, могу заработать.

Возможно, провайдер может уговорить меня рассказать больше о себе, используя это как стимул, который он может затем продать сайтам, которые я зарегистрировал. Поэтому сайт А оплачивает OpenID для моей информации. OpenID затем передает разрез этого мне. Сайт A не должен управлять пользователями, OpenID получает деньги, пользователь получает деньги, все довольны:)

Таким образом, вам не придется принудительно выполнять OpenID. Люди сами захотят этого. Затем поставщики OpenID будут конкурировать между собой за предоставление более качественных услуг, и там, где есть конкуренция, будет обеспечена лучшая ценность для всех заинтересованных сторон. Я думаю, что это потрясающая идея.

Edit: Что касается времени простоя у одного конкретного провайдера; если провайдер OpenID A не уверен в предоставлении 100% времени безотказной работы, он может воспользоваться помощью другого провайдера B, и пользователь из провайдера A может выбрать один из поставщиков опциона A. Сайт, который отправляется провайдеру A для аутентификации пользователя, будет знать, к каким другим провайдерам обратиться, если поставщик A не работает. Это будет автоматически сохранено в его базе данных при первом входе в систему. Кто-нибудь хочет провести мозговой штурм деталей реализации?:)