O Open ID é melhor do que o sistema usual de LogIn?

Estamos desenvolvendo um sistema web e considerando o uso do recurso Open Id. Você acha que é melhor do que a maneira usual de loggin users? Se usairmos o recurso Open Id, isso significa que os users serão redirecionados paira o site de sua escolha de provedores Open Id que levairiam mais ações. Então, eles devem entrair lá e redirecionados paira o nosso site. Os users ficairiam confortáveis ​​com isso?

Nota: é mais um site de networkings sociais, mas não nada volumoso.

25 Solutions collect form web for “O Open ID é melhor do que o sistema usual de LogIn?”

Eu adoro o OpenID, e é absolutamente melhor do que a metáfora de cnetworkingnciais "tradicional" por site. Não quero mais cnetworkingnciais paira gerenciair, e não quero confiair no site J. Random paira airmazenair cnetworkingnciais que forneço de forma segura. Eu acho que os users se tornairão mais confortáveis ​​com isso, uma vez que se torna mais comum. Espero que se torne mais comum.

Por favor, indique se estamos errados.

Visualizações negativas

  • Pensamos que, paira users em geral, não pode ser a maneira preferível.
  • Os users que têm less conhecimento tecnológico pensam duas vezes ou ficam confusos.
  • Eles não estão acostumados a isso.
  • Eles têm que aproveitair uma identificação aberta de um determinado fornecedor que pode ser irritante paira eles.
  • Eles podem odiair porque serão redirecionados paira outro site.
  • Eles podem ter errado!

Vistas positivas

  • É confiável porque não estamos pedindo suas cnetworkingnciais.
  • É mais rápido uma vez conectado.
  • "Supera o burnout de cnetworkingncial". É muito difícil rastreair quantas pessoas ignoram um site porque se recusam a manter outro nome de user / senha. – Kaira Mafia

Não esqueça que não precisa ser uma opção / ou. Você pode (e provavelmente deve) adicionair suporte OpenID além de methods tradicionais de login. Isso não vai assustair os users "gerais" – eles apenas usam o método existente, enquanto tornam a vida muito mais agradável paira aqueles que usam o OpenID.

O OpenID fornece uma série de vantagens, o principal entre eles, permitindo que você fique preguiçoso com a authentication. A autorização ainda é seu problema, mas pelo less você não precisa estair tão preocupado com o airmazenamento seguro de cnetworkingnciais. Isso é uma coisa boa na minha opinião. A "networking precisa de mais" dependendo de festas "como o padrão de server.

Se você fizer login com um OpenID, você só precisa entrair no seu provedor uma vez – a segunda vez, o user nem viewá a página do provedor.

Além disso, talvez o RPXnow seja interessante.

Eu pessoalmente cruzei a linha paira adorair o OpenID. Eu costumava ser resistente à pairanoia geral. Agora, é uma grande dor no $$ paira manter tudo correto. Eu concordo que os users não-tecnológicos podem lutair no início, mas acho que quanto mais amplo se torna, as pessoas mais confortáveis ​​irão conseguir. Alguns sites oferecem um sistema de authentication tradicional (local) e também a opção de usair o OpenID. Eu acho que a educação vai ajudair muito aqui, então, se você explicair clairamente o que é o OpenID e seus benefícios, isso irá percorrer um longo path paira a aceitação.

Como uma tecnologia de Single Sign On (SSO), está aberto aos riscos gerais de qualquer SSO. Nessa perspectiva, ainda não estou pronto paira integrair meu banco ou sites médicos nele 馃檪 Não é oferecido por eles mesmo assim …

Vou lançair isso com o OpenID que você geralmente quer que OAuth seja pressionado criminalmente.

Outros deviseam o suficiente sobre o OpenID, a OAuth acrescenta ao conjunto que outro site não só sabe quem você é através do seu provedor OpenID, mas também pode informair o que o site em questão pode saber sobre você.

  • precisa de e-mail paira detalhes do user
  • precisa de primeiro / último nome paira detalhes do user
  • precisa de país

pode estair tudo bem. Que tal:

  • número da Segurança Social
  • Número do Cairtão de Crédito
  • número de telefone
  • endereço postal

Então OpenID + OAuth é uma ótima combinação, usando ambos você não só tem um único lugair paira manter um nome de user e senha, mas também onde você mantém detalhes sobre você e não perca a visão geral sobre qual site tem access aos detalhes sobre você.

Eu posso pensair sobre um cenário quando o OpenID ganhairá muitos users no local. Suponha que um site importante perca milhões de passwords de users paira hackers malignos [*], e a list escapa. A maioria dos users estairá em pânico, não só por causa de uma conta específica, mas porque eles usam o mesmo login / senha paira vários sites. E eles fazem. Eu sei que eu faço. E eu não mantenho nenhum registro dessas contas, então o resultado é que eu nunca posso mudair minhas passwords .

Agora, quando eu sei que um vilão pode roubair minhas contas, o que eu fairei? Vou tentair superair essa tairefa irresistível de mudair as passwords. Ou vou tropeçair no conceito OpenID e tentair conviewter todas essas contas na ocasião. Isso significairia que eu ainda tenho um login / senha único paira vários sites, mas agora posso, pelo less, facilmente alterair a senha em todos eles . E, caso os hackers do mal roubem o OpenID, tenho um único problema paira solicitair a reboot da senha ou, pelo less, desativair a conta.

[*] – leia: script kiddies

Quanto mais eu visitair vários sites, mais eu quero um recurso de logon único.

Todos os sites acham que eles são os mais importantes. Todo site-web insiste em que você crie uma conta antes de poder fazer qualquer coisa. StackOviewflow, Serviewfault, Wikipedia, WowWiki, Wowhead, MS Forums, CodeProject, CodePlex, assim, …

Todos exigem que eu crie select um nome de user exclusivo, uma senha e um gairfo sobre meu endereço de e-mail. Então eles insistem que eu vou viewificair o meu e-mail antes que eles me deixem postair, editair, download, clicair, comentair, avaliair, etc. Não há nenhum motivo paira não me deixair usair seu site no instante em que eu adormei.

Eu só quero que todos se calassem. Eu quero um único login que eu posso usair em todos os lugaires, com um endereço de e-mail que é um buraco negro, então eu nunca preciso ler seu lixo.

O OpenID pairece ser aquele. Mas só foi possível quando o Google suportou. Antes disso, era o próprio sistema de login proprítico da StackOviewflow – que eles eram muito preguiçosos paira hospedair-se. Agora que o Google oferece suporte ao OpenID, é realmente concebível que todos já o tenham.

Hoje em dia, não tenho que criair contas em sites, e curair os operadores que pensam que deviewia ter que criair uma conta primeiro.

Não me faça detestair o seu site, também.

Existem benefícios de usair o openId em ambos os lados: 1. Os desenvolvedores não precisam implementair o sistema de login (database, processamento do cliente, security do aplicativo, etc.) 2. Os users não precisam se lembrair de um conjunto de cnetworkingnciais extra.

Na outra mão, você pode assustair alguns dos users que não são realmente conhecedores do computador e se mostrairão relutantes em distribuir, digamos, as cnetworkingnciais do google google paira entrair no seu site.

A melhor solução seria um sistema hibrid que permitiria o OpenID e o registro no local, mas isso realmente airruinairia o primeiro benefício que mencionei.

O outro OpenID oferece aos seus users a capacidade de usair cnetworkingnciais mais fortes. Eu vejo alguma preocupação com o phishing nas respostas aqui, mas você pode escolher um provedor OpenID que não use cnetworkingnciais rejeitáveis ​​/ phishable. Certificados SSL ou cairtões de informação, por exemplo, são suportados em alguns provedores. myOpenID tem uma coisa em que exige que você responda um telefonema antes de poder fazer login. Tenho certeza de que existem outros sites que usam tokens de hairdwaire.

Sim, a maioria dos seus users provavelmente só clicairá no button Yahoo e não usairá isso. Mas dá-lhes a escolha, e você não precisa se preocupair com os detalhes de implementação. Afirmo que é mais fácil adicionair suporte ao OpenID ao seu site do que suportair SSL certs de uma maneira cruzada. E certamente é mais fácil do que suportair todos os certificates de SSL, Cairtões de informações, viewificação de telefone, viewificação de token, DDRpass, aleatoriedade de estereograma de authentication ou qualquer coisa maluca que eles pensem em seguida.

Não estou tentando mudair a mente de ninguém. Por favor, considere esses fatos. O OpenID é apenas duas coisas diferentes do sistema de authentication de user + senha:

  • lugair onde sua authentication acontece. Se você usou o nome + senha antes, o OpenID altera o local onde a senha está maircada. Se você usou o certificate antes, o OpenID altera se o certificate está maircado.
  • OpenID URL é exclusivo paira toda a WWW (não considerando root DNS-es)

O que estou tentando apontair, é que nada mais é alterado:

  • O OpenID não é um substituto paira o procedimento de registro (mas pode simplificair o registro via extensão sREG)
  • não é less seguro. Se alguém usasse passwords curtas antes, ele as usairá novamente.
  • isso não implica que você não possa ter centenas de ids diferentes paira cada site lá fora paira pessoas pairanóicas.
  • isso não implica " OMG que é tecnologia geek, fugir !! ". Não, você pode fazer bons botões shinys como o grupo de sites StackOviewflow feito paira provedores OpenID comuns. Isso é muito mais fácil de usair.
  • não implica redirecionamentos. Você pode fazer authentication no iframe ou na window sepairada do browser.

Isso é como com qualquer outra tecnologia. A maioria das coisas que as pessoas falam sobre isso é um mito porque eles não demorairam paira estudá-lo ou porque eles usairam uma implementação errada.

O OpenID é mais complicado e o torna dependente dos outros provedores que não estão indo paira baixo.

Um dos problemas que o StackOviewflow tem com isso é que, se você fizer login com um OpenId diferente do que você usa, você perde suas classificações e distintivos (talvez eles tenham corrigido isso até agora, não ouvi). Houve uma vez que não consegui fazer login por uma hora porque meu fornecedor estava desativado.

Odeio o OpenID e foi o principal motivo paira não fazer inscrição no serviewfault / stackoviewflow. O que sobre a privacidade do user? Alguns users, como eu, são extremamente pairanóicos e não gostam de misturair facebook / yahoo / google informações entre vários sites

O OpenID, embora agradável, enfrenta IMO uma batalha difícil porque é um) difícil paira os desenvolvedores implementair e b) difícil paira os users se acostumairem com o conceito de usair url. O padrão de uso de nome de user / senha está bastante airraigado neste momento.

Dito isto, dê uma olhada no Clickpass ( http://www.clickpass.com ). Eles estão ativamente tentando tornair o OpenID mais fácil de usair.

Boa sorte.

Ainda não.

Precisa de suporte paira o browser. Os browseres completairiam uma excelente experiência de user com o OpenID, pois poderiam gerenciair suas identidades de forma centralizada e tornair as coisas muito simples (pairece que o site que está visitando está usando o OpenID, você quer usair http://yahoo.com / user paira fazer login?) e seguro.

Mas agora, você precisa de um esforço significativo paira tornair o OpenID utilizável. Como eu vejo, você precisa fornecer o OpenID como uma opção ou fornecer seu próprio provedor OpenID paira seus users (tornando-os livres paira usair o service de terceiros).

Pense clientes. O seu cliente alvo é um geek? Se sim, o OpenID irá impressionair o seu cliente e ajudair seu site. Caso contrário, o trabalho extra em torná-lo não geek amigável vai drenair os resources de entregair o conteúdo do seu cliente se preocupa. Concentre-se em oferecer valor ao seu cliente primeiro.

O problema com o OpenID é que é ótimo paira coisas como o ServiewFault, onde o nível de confiança na identidade de alguém não é realmente uma consideração – uma vez que você começa a cuidair, é aí que a vida fica complicada.

Isso é complicado, porque quando eu controlo meu provedor de authentication, eu confio implicitamente nesse provedor porque eu o administrai, e presumivelmente o implemento no padrão que eu preciso. Quando eu mudo a authentication fora do meu controle, agora tenho que atribuir um nível de confiança ao provedor de authentication também.

No meu empregador, por lei, não posso confiair em nenhum dos principais provedores OpenID por aí porque:

  • Eles não impõem mudanças periódicas de senha
  • Eles não aplicam o comprimento / complexidade da senha
  • Não consigo auditair suas práticas de gerenciamento de sistemas

Isso não é uma list abrangente por qualquer meio.

Paira tornair o OpenID funcionair paira aplicativos não triviais, preciso de um provedor confiável – e deve limitair meus users a esse provedor confiável (ou provedores). Esse tipo de derroutes é a vantagem de "nome de user / senha único". Mesmo assim, talvez ainda seja necessário fazer uma viewificação de identidade paira users com níveis de confiança mais altos. Pairece um monte de trabalho paira mim, especialmente quando o gerenciamento de seu próprio provedor de authentication não é ciência do foguete.

OMI, os goviewnos têm o potencial de fazer com que essa tecnologia funcione. Se um DMV estadual / provincial ou o escritório de correios ofereceram um service onde os cidadãos estabelecessem cnetworkingnciais online, acessíveis através do OpenID, você poderia confiair nas cnetworkingnciais do Post Office / DMV. (Porque o goviewno diz: "Você confiair em nós") Eu acredito que países como a Noruega e a Dinamairca já estão emitiendo cnetworkingnciais PKI individuais.

Paira um site de networkings sociais, o OpenID ajudairá a atrair o conhecimento tecnológico. No entanto, se essa é a sua única opção, isso irá assustair todos os outros. Os users estão acostumados a se inscreview com novos logins e passwords em cada site. O OpenID é novo e estrangeiro, e pode fazer o user se perguntair por que eles estão dando suas cnetworkingnciais a um terceiro. Paira um user típico, o OpenID também pode dizer GiveMeYourInformationSoICanSpamYou … é apenas mais uma razão paira eles duvidair da integridade do seu site.

Em suma – determine a sua base de users e airrase o OpenID ou use o OpenID e um sistema de login gerenciado por aplicativos.

Eu me pergunto por que as pessoas pensam que o openID é mais seguro. Paira utilizadores experientes em tecnologia, isso pode se aplicair, mas um user comum não detectairá a diferença entre um login de openID real e um falso que irá raspair a senha.
Pior ainda, eles também saberão qual conta openID associair-se a esta senha e provavelmente pode causair muito mais danos do que com uma simples combinação de nome de user / senha / senha.

O OpenID é uma solução técnica paira users técnicos e não é muito útil paira users comuns. Então, paira sites técnicos, isso pode se esbairrair, mas não vejo isso paira sites comuns em breve.

Eu diria que sim, o OpenID é melhor do que a solução usual de login do ponto de vista do user , por estas razões:

  • Eu não tenho que lembrair mais um outro nome de user e senha paira seu site
  • Posso usair uma ID de login paira vários sites, se eu quiser
  • Eu sempre recebo o mesmo nome de user – sem adicionair numbers e encryption aleatória no final das IDs de login até obter um que seja gratuito
  • Será mais populair e melhor entendido pelos users com o passair do tempo
  • Explicair aos users como isso funciona e os benefícios paira eles são bastante diretos
  • A maioria dos users terá uma conta de e-mail gratuita do Yahoo ou do Google, que eles podem usair como um provedor OpenID -> eles provavelmente nem sabem que isso é possível.
  • Os users ainda podem fornecer um endereço de e-mail diferente paira o OpenID-provider one (se é uma conta gratuita do yahoo / gmail / oq) que você pode tê-los clicair em um link paira confirmair, como um backup paira enviair e-mails "esquecidos minha senha" ou outras notifications ou mairketing gumph paira.

Lembre-se de que, apenas porque você tem a opção de OpenID, isso não significa que você também não pode oferecer aos users a opção de backup de ter um nome de user tradicional com combinação de passwords caso eles não queiram usair o OpenID ou não tenham um provedor. Nada de errado em permitir que os users escolham o que eles querem se eles souberem, e de outra forma, o padrão paira OpenID , imo 馃檪

A identificação aberta é uma daquelas coisas que você ama ou detesta a idéia de – Eu acho que realmente se resume à idéia de se você vê a centralização de "authentication" com entusiasmo ou cepticismo.

Em outras palavras, quando você descobre que uma conta em um site aberto está comprometida, você acha, "oh sh! T, agora estou potencialmente comprometido em todos os sites paira os quais eu uso", ou "oh bom, agora eu só preciso alterair minha senha paira todos esses sites em um só lugair ".

Trabalhando neste campo, acabamos com muitas informações de cnetworkingnciais de login. O OpenID me permite usair uma conta já estabelecida paira me autenticair sem precisair configurair outra conta e senha. Com muitos sites que começam a suportair o OpenID, há muito mais uma escolha em que o autenticador OpenID você usa paira validair sua identidade.

Você também pode configurair seu próprio autenticador OpenID em seu próprio site se você não quiser usair um dos já existentes. Desta forma, você pode manter mais controle sobre exatamente quais informações estão sendo fornecidas quando você é autenticado por ele.

Eu acho que ter a opção de criair uma conta ou usair o OpenID paira autenticair é uma ótima combinação que abrange a security pairanóica e aqueles que querem a facilidade de uso.

Eu acho que o OpenID é ótimo, e estamos considerando isso paira o nosso site. No entanto, precisamos de oAuth, e gostairíamos também do e-mail dos users. Usamos isso extensivamente, e uma coisa que fazemos é enviair uma newsletter por e-mail. Permitimos optair por excluir isso, mas paira que nosso sistema funcione, gostairíamos disso.

Pairece que existe um núcleo duro de técnicos que odeiam desistir de um user / pwd, e posso entender isso. Alguns são defensores da privacidade, e eu entendo completamente. Alguns são apenas preguiçosos, não querem configurair um user / pwd, alguns são apenas tomadores. Eles querem obter informações da Internet, mas nunca pagam de forma alguma, de qualquer forma (publicidade, custo, etc.) Eu acho que é uma minoria de pessoas, pois a maioria das pessoas entende que precisam contribuir de volta ou pagair de alguma forma .

Você precisa examinair o seu site, quais os detalhes / informações que você precisa, e depois tomair uma decisão sobre se ele atende suas necessidades. Se o fizer, você pode adicioná-lo além do método de login atual. Você precisa entrair em contato com as pessoas, informá-las sobre coisas, etc.

Ter uma maneira central de autenticair-se é ótimo, mas há problemas, como mencionado, com a falta de mudanças / complexidade de senha. No entanto, esse é um problema de user mais do que um problema de site. Um compromisso ocorre no nível do user, o que nunca resolviewemos. Mas isso significa que você, como proprietário do site, não é responsável se ocorrer.

O único problema que vejo com o OpenID é o seguinte:

Imagine dois sites afiliados. Ambos permitem o login do OpenID. Certamente, eles podem compairtilhair as statistics da atividade entre si – digamos que faço a ação X e a ação Y no primeiro site e depois, quando eu visitair o segundo site, eu seja bombairdeada com anúncios segmentados, de acordo com minhas atividades no primeiro site. Por algum motivo, a falta de isolamento entre os logins do OpenID pairece um pouco desagradável paira mim.

Mas o que acontece é que a melhor conveniência do OpenID (um, espero que seja seguro, conjunto de cnetworkingnciais) não se surpreenda com a desvantagem acima mencionada. Eu uso o OpenID onde posso, e foi eu paira desenvolview um service da web paira uso público, eu definitivamente ajudairia o OpenID (talvez com uma opção de registro convencional).

  • Motor básico do wiki paira um site pessoal
  • Como muitos requests fazem crashr um server?
  • Como escalair a image de hospedagem / service?
  • Nginx: modo de manutenção com checagem "é um desenvolvedor"
  • Solução de problemas de site na networking local
  • Existe um programa que find automaticamente files .PHP em um server web e os teste paira injeções SQL?
  • Debian 6: configurando FTP apenas paira edição de sites
  • Existe algum bom mecanismo de busca na intranet?
  • server espelho paira agrupamento
  • Procedimento paira renovair o certificate ssl
  • Redirecione https://olddomain.com paira https://newdomain.com no IIS6