Apakah Open ID lebih baik daripada sistem LogIn yang biasa? [Tutup]

Kami sedang mengembangkan sistem web dan mempertimbangkan untuk menggunakan fitur Open Id. Apakah Anda pikir ini lebih baik daripada cara yang biasa dilakukan pengguna loggin? Jika kita menggunakan fitur Open Id itu berarti pengguna akan dialihkan ke situs penyedia Open Id pilihan mereka yang akan mengambil tindakan lebih banyak. Kemudian mereka harus masuk ke sana dan diarahkan kembali ke situs kami. Apakah pengguna akan merasa nyaman dengan ini?

Catatan: Ini lebih dari situs jejaring sosial tetapi tidak terlalu besar.

Saya suka OpenID, dan ini benar-benar lebih baik daripada metafora kredensial per-situs "tradisional". Saya tidak ingin lebih banyak kredensial untuk dikelola, dan saya tidak ingin mempercayai situs J. Random untuk menyimpan kredensial yang saya berikan dengan aman. Saya pikir pengguna akan lebih nyaman dengan itu karena menjadi lebih umum. Semoga itu menjadi lebih biasa.

Tolong tunjukkan jika kita salah.

Pandangan Negatif

• Kami pikir untuk pengguna umum, ini BUKAN cara yang lebih disukai.
• Pengguna yang kurang memiliki pengetahuan teknologi akan berpikir dua kali atau menjadi bingung.
• Mereka TIDAK terbiasa dengannya.
• Mereka harus memanfaatkan id terbuka dari penyedia tertentu yang mungkin mengganggu mereka.
• Mereka mungkin membencinya karena mereka akan diarahkan ke situs lain.
• Mereka mungkin salah!

Pandangan positif

• Ini dapat dipercaya karena kami tidak meminta kredensial mereka.
• Lebih cepat setelah masuk.
• + Msgstr "Atasi kelelahan kredensial". Sangat sulit untuk melacak berapa banyak orang yang melewati suatu situs karena mereka menolak untuk mempertahankan nama pengguna / kata sandi lain. - Kara Mafia

Jangan lupa bahwa itu tidak harus menjadi opsi salah satu / atau. Anda dapat (dan mungkin harus) menambahkan dukungan OpenID selain metode login tradisional. Ini tidak akan menakut-nakuti pengguna 'umum' - mereka hanya menggunakan metode yang ada, sementara membuat hidup jauh lebih menyenangkan bagi mereka yang menggunakan OpenID.

OpenID menyediakan sejumlah keunggulan, terutama di antaranya memungkinkan Anda menjadi malas dengan otentikasi. Otorisasi masih menjadi masalah Anda, tetapi setidaknya Anda tidak perlu khawatir menyimpan kredensial dengan aman. Ini adalah hal yang baik menurut saya. 'Net perlu lebih banyak' mengandalkan pihak 'seperti serverfault

Jika Anda masuk dengan OpenID, Anda hanya perlu masuk ke penyedia Anda sekali - untuk kedua kalinya, pengguna bahkan tidak akan melihat halaman penyedia.

Juga, mungkin RPX sekarang akan menarik.

Saya pribadi telah melewati batas untuk mencintai OpenID. Saya dulu tahan terhadap itu dari paranoia umum. Sekarang terlalu banyak rasa sakit di a $ untuk menjaga semuanya tetap lurus. Saya setuju bahwa pengguna non-teknologi mungkin berjuang pada awalnya, tapi saya pikir semakin luas penyebarannya maka semakin nyaman orang-orang akan mendapatkannya. Beberapa situs menawarkan sistem otentikasi tradisional (lokal) dan juga opsi untuk menggunakan OpenID. Saya pikir pendidikan akan banyak membantu di sini, jadi jika Anda menjelaskan dengan jelas apa itu OpenID dan manfaatnya maka itu akan sangat membantu untuk diterima.

Sebagai teknologi Single Sign On (SSO), teknologi ini terbuka untuk risiko umum SSO apa pun. Dari sudut pandang itu, saya belum siap untuk mengintegrasikan bank atau situs medis saya ke dalamnya :)

Saya akan melemparkan itu dengan OpenID Anda biasanya ingin OAuth yang mendapat pers kriminal rendah.

Yang lain telah cukup menguraikan tentang OpenID, OAuth menambahkan ke set bahwa situs lain tidak hanya tahu siapa Anda melalui penyedia OpenID Anda, tetapi Anda juga dapat memberi tahu apa yang diizinkan diketahui oleh situs tersebut tentang Anda.

• membutuhkan email untuk detail pengguna
• perlu nama depan / belakang untuk detail pengguna
• membutuhkan negara

mungkin semuanya baik-baik saja. Bagaimana dengan itu:

• nomor keamanan sosial
• nomor kartu kredit
• nomor telepon
• alamat pos

Jadi OpenID + OAuth adalah kombinasi yang hebat, dengan menggunakan keduanya, Anda tidak hanya memiliki satu tempat untuk menyimpan nama pengguna dan kata sandi, tetapi juga tempat Anda menyimpan detail tentang diri sendiri dan tidak kehilangan gambaran umum tentang situs mana yang memiliki akses ke detail apa tentang diri Anda.

Saya bisa memikirkan sebuah skenario ketika OpenID akan mendapatkan banyak pengguna di tempat. Misalkan situs utama kehilangan jutaan kata sandi pengguna oleh peretas jahat [*], dan daftarnya bocor. Sebagian besar pengguna akan panik, bukan hanya karena satu akun tertentu, tetapi karena mereka menggunakan login / kata sandi yang sama untuk beberapa situs. Dan mereka melakukannya. Saya tahu, saya tahu. Dan saya tidak melacak akun-akun ini, jadi hasilnya adalah saya tidak pernah dapat mengubah kata sandi saya .

Sekarang ketika saya tahu bahwa seorang penjahat dapat mencuri akun saya, apa yang akan saya lakukan? Saya akan mencoba untuk melewati tugas yang luar biasa ini untuk mengubah kata sandi. Atau saya akan menemukan konsep OpenID dan mencoba mengonversi semua akun ini pada kesempatan itu. Ini berarti saya secara efektif masih memiliki satu login / kata sandi untuk beberapa situs, tetapi sekarang saya setidaknya dapat dengan mudah mengubah kata sandi di semua situs . Dan seandainya peretas jahat mencuri OpenID saya, saya punya satu masalah untuk meminta pengaturan ulang kata sandi atau setidaknya untuk menonaktifkan akun.

[*] - baca: skrip kiddies

Semakin saya mengunjungi berbagai situs web, semakin saya ingin fitur masuk tunggal.

Setiap situs web menganggap milik mereka yang paling penting. Setiap situs web bersikeras bahwa Anda membuat akun sebelum Anda dapat melakukan apa pun. StackOverflow, Serverfault, Wikipedia, WowWiki, Wowhead, Forum MS, CodeProject, CodePlex, terus dan terus, ...

Mereka semua menuntut saya membuat pilih nama pengguna yang unik, kata sandi, dan percabangan alamat email saya. Kemudian mereka bersikeras bahwa saya pergi memeriksa email saya sebelum mereka membiarkan saya memposting, mengedit, mengunduh, mengklik, memberi komentar, dll. Tidak ada alasan untuk tidak membiarkan saya menggunakan situs Anda begitu saya mengembara ke dalamnya.

Saya hanya ingin mereka semua tutup mulut. Saya ingin satu login yang bisa saya gunakan di mana-mana, dengan alamat email yang merupakan black-hole jadi saya tidak perlu membaca sampah mereka.

OpenID tampaknya seperti itu. Tetapi itu hanya mungkin setelah Google mendukungnya. Sebelum itu, itu adalah sistem login pendaftar StackOverflow sendiri - bahwa mereka terlalu malas untuk meng-host sendiri. Sekarang Google mendukung OpenID, sebenarnya bisa dibayangkan bahwa semua orang sudah memilikinya.

Saat ini, saya enggan harus membuat akun di situs web, dan mengutuk operator yang berpikir saya harus membuat akun terlebih dahulu.

Jangan buat saya membenci situs Anda juga.

Ada manfaat menggunakan openId di kedua sisi: 1. Pengembang tidak perlu menerapkan sistem login (database, pemrosesan klien, keamanan aplikasi, dll.) 2. Pengguna tidak perlu mengingat set kredensial tambahan.

Di sisi lain, Anda mungkin menakut-nakuti beberapa pengguna yang tidak benar-benar ahli dalam bidang komputer dan akan enggan memberi tahu misalnya kredensial google mereka untuk masuk ke situs Anda.

Solusi terbaik adalah sistem hibrid yang memungkinkan pendaftaran OpenID dan di tempat, tetapi ini benar-benar merusak manfaat pertama yang saya sebutkan.

Hal lain yang diberikan OpenID kepada pengguna Anda adalah kemampuan untuk menggunakan kredensial yang lebih kuat. Saya melihat beberapa kekhawatiran tentang phishing dalam tanggapan di sini, tetapi Anda dapat memilih penyedia OpenID yang tidak menggunakan kredensial phishable / replayable sama sekali. Sertifikat SSL atau Kartu Informasi, misalnya, didukung pada beberapa penyedia. myOpenID memiliki hal yang mengharuskan Anda menjawab panggilan telepon sebelum dapat masuk. Saya cukup yakin ada situs lain yang menggunakan token perangkat keras.

Ya, sebagian besar pengguna Anda mungkin hanya akan mengklik tombol Yahoo dan tidak menggunakannya. Tapi itu memberi mereka pilihan, dan Anda tidak perlu khawatir tentang detail implementasi. Saya mengklaim lebih mudah untuk menambahkan dukungan OpenID ke situs Anda daripada mendukung sertifikat SSL dengan cara lintas-browser. Dan tentu saja lebih mudah daripada mendukung semua sertifikat SSL, Kartu Informasi, verifikasi telepon, verifikasi token, DDRpass, autentik stereogram titik acak, atau hal aneh apa pun yang mereka pikirkan selanjutnya.

Saya tidak mencoba mengubah pikiran siapa pun. Tolong, pertimbangkan fakta-fakta ini. OpenID hanya dua hal yang berbeda dari sistem otentikasi kata sandi pengguna:

• tempat di mana otentikasi Anda terjadi. Jika Anda menggunakan nama + kata sandi sebelumnya, OpenID mengubah tempat di mana kata sandi diperiksa. Jika Anda menggunakan sertifikat sebelumnya, OpenID mengubah tempat sertifikat diperiksa.
• URL OpenID unik untuk seluruh WWW (tidak mempertimbangkan root DNS alternatif)

Yang ingin saya tunjukkan adalah tidak ada lagi yang berubah:

• OpenID bukan pengganti untuk prosedur pendaftaran (tetapi itu dapat menyederhanakan pendaftaran melalui ekstensi sREG)
• itu tidak kalah aman. Jika seseorang menggunakan kata sandi singkat sebelumnya, ia akan menggunakannya lagi.
• itu tidak menyiratkan bahwa Anda tidak dapat memiliki ratusan id yang berbeda untuk setiap situs web di luar sana untuk orang paranoid.
• itu tidak menyiratkan " OMG itu teknologi geek, lari !! ". Tidak, Anda dapat membuat tombol mengkilap yang bagus seperti yang dilakukan grup StackOverflow untuk penyedia OpenID umum. Itu jauh lebih ramah pengguna.
• itu tidak menyiratkan pengalihan. Anda dapat membuat otentikasi di iframe atau jendela browser terpisah.

Itu seperti dengan teknologi lainnya. Sebagian besar hal yang dibicarakan orang adalah mitos karena mereka tidak meluangkan waktu untuk mempelajarinya atau karena mereka menggunakan implementasi yang salah.

OpenID lebih rumit, dan membuat Anda bergantung pada penyedia lain untuk tidak turun.

Salah satu masalah yang dihadapi StackOverflow adalah, jika Anda masuk dengan OpenID berbeda dari yang biasa Anda gunakan, Anda kehilangan peringkat dan lencana Anda (mungkin mereka sudah memperbaikinya sekarang, belum mendengar). Ada satu waktu saya tidak bisa masuk selama satu jam karena penyedia saya sedang down.

Saya benci openID dan itu adalah alasan utama untuk TIDAK mendaftar di serverfault / stackoverflow Bagaimana dengan privasi pengguna? Beberapa pengguna, seperti saya, sangat paranoid, dan tidak suka mencampur informasi facebook / yahoo / google antara berbagai situs web

OpenID sementara bagus secara konseptual menghadapi IMO perjuangan berat karena itu a) sulit bagi pengembang untuk mengimplementasikan dan b) sulit bagi pengguna untuk terbiasa dengan konsep menggunakan url. Pola penggunaan nama pengguna / kata sandi sudah cukup melekat pada saat ini.

Yang mengatakan, lihat Clickpass ( www.clickpass.com ). Mereka secara aktif berusaha membuat OpenID lebih mudah digunakan.

Semoga berhasil.

Belum.

Perlu dukungan browser. Peramban akan melengkapi pengalaman pengguna yang sangat baik dengan OpenID, karena mereka dapat mengelola identitas Anda secara terpusat dan membuat segalanya sangat sederhana (tampaknya situs web yang Anda kunjungi menggunakan OpenID, apakah Anda ingin menggunakan http://yahoo.com / pengguna untuk masuk?) dan aman.

Tetapi saat ini, Anda perlu upaya yang signifikan untuk membuat OpenID dapat digunakan. Seperti yang saya lihat, Anda harus menyediakan OpenID sebagai opsi atau memberikan penyedia OpenID Anda sendiri kepada pengguna Anda (membuat mereka bebas menggunakan layanan pihak ketiga).

Pikirkan pelanggan. Apakah pelanggan target Anda seorang geek? Jika ya, OpenID akan mengesankan pelanggan Anda dan membantu situs Anda. Jika tidak, kerja ekstra untuk membuatnya ramah non-geek akan menguras sumber daya dari memberikan konten yang pelanggan Anda pedulikan. Fokus pada memberikan nilai kepada pelanggan Anda terlebih dahulu.

Masalah dengan OpenID adalah hal yang bagus untuk hal-hal seperti ServerFault di mana tingkat kepercayaan pada identitas seseorang tidak benar-benar menjadi pertimbangan - begitu Anda mulai peduli, di situlah hidup menjadi rumit.

Itu menjadi rumit, karena ketika saya mengontrol penyedia otentikasi saya, saya secara implisit mempercayai penyedia itu karena saya menjalankannya, dan mungkin telah mengimplementasikannya ke standar yang saya butuhkan. Ketika saya memindahkan otentikasi di luar kendali saya, saya sekarang harus menetapkan tingkat kepercayaan kepada penyedia otentikasi juga.

Di perusahaan saya, berdasarkan hukum, saya tidak dapat mempercayai penyedia OpenID utama APAPUN di luar sana karena:

• Mereka tidak menerapkan perubahan kata sandi berkala
• Mereka tidak menerapkan panjang / kompleksitas kata sandi
• Saya tidak bisa mengaudit praktik manajemen sistem mereka

Itu bukan daftar komprehensif dengan cara apa pun.

Agar OpenID berfungsi untuk aplikasi non-sepele, saya membutuhkan penyedia tepercaya - dan harus membatasi pengguna saya ke penyedia (atau penyedia) tepercaya itu. Jenis itu mengalahkan seluruh keuntungan "nama pengguna / kata sandi" tunggal. Meski begitu, saya mungkin masih perlu melakukan beberapa verifikasi identitas untuk pengguna di tingkat kepercayaan yang lebih tinggi. Sepertinya banyak pekerjaan bagi saya, terutama ketika mengelola penyedia otentikasi Anda sendiri bukan ilmu roket.

IMO, pemerintah memiliki potensi untuk membuat teknologi ini berfungsi. Jika DMV negara bagian / provinsi atau kantor pos menawarkan layanan tempat warga membangun kredensial online, dapat diakses melalui OpenID, Anda dapat mempercayai kredensial Kantor Pos / DMV. (Karena pemerintah mengatakan: 'Engkau harus percaya pada kami') Saya percaya bahwa negara-negara seperti Norwegia dan Denmark sudah mengeluarkan kredensial PKI individu.

Untuk situs jejaring sosial, OpenID akan membantu menarik para ahli teknologi. Namun, jika itu satu-satunya pilihan Anda, itu akan menakut-nakuti orang lain. Pengguna terbiasa mendaftar dengan login dan kata sandi baru di setiap situs. OpenID adalah baru dan asing, dan dapat membuat pengguna bertanya-tanya mengapa mereka memberikan kredensial mereka kepada pihak ketiga. Untuk pengguna biasa, OpenID mungkin juga mengatakan GiveMeYourInformationSoICanSpamYou ... itu hanya satu alasan lagi bagi mereka untuk meragukan integritas situs Anda.

Singkatnya - tentukan basis pengguna Anda, dan goreskan OpenID atau gunakan OpenID dan sistem login yang dikelola aplikasi.

Saya bertanya-tanya mengapa orang berpikir openID lebih aman. Untuk pengguna yang mengerti teknologi, ini mungkin berlaku, tetapi pengguna biasa tidak akan menemukan perbedaan antara login openID nyata dan yang palsu yang akan mengikis kata sandi.
Lebih buruk lagi, mereka juga akan tahu akun openID mana yang harus diasosiasikan dengan kata sandi ini, dan mungkin dapat menimbulkan lebih banyak kerusakan daripada dengan kombinasi nama pengguna / email / kata sandi yang sederhana.

openID adalah solusi teknis untuk pengguna teknis, dan tidak sangat membantu bagi pengguna biasa. Jadi untuk situs teknis mungkin berkembang, tapi saya tidak melihat itu untuk situs biasa dalam waktu dekat.

Saya akan mengatakan bahwa ya, OpenID lebih baik daripada solusi login yang biasa dari sudut pandang pengguna , karena alasan berikut:

• Saya tidak harus mengingat nama pengguna dan kata sandi lain untuk situs Anda
• Saya dapat menggunakan satu ID login untuk beberapa situs, jika saya mau
• Saya selalu mendapatkan nama pengguna yang sama - tidak ada penambahan angka dan omong kosong acak di akhir ID login sampai saya mendapatkan satu yang gratis
• Ini akan menjadi lebih populer dan lebih dipahami oleh pengguna seiring berjalannya waktu
• Menjelaskan kepada pengguna cara kerjanya dan manfaatnya bagi mereka cukup mudah
• Sebagian besar pengguna akan memiliki akun email gratis dari Yahoo atau Google yang dapat mereka gunakan sebagai penyedia OpenID -> mereka mungkin bahkan tidak tahu ini mungkin.
• Pengguna masih dapat memberikan alamat email yang berbeda kepada penyedia OpenID (jika itu adalah yahoo / gmail / akun apa pun gratis) yang dapat Anda minta mereka mengklik tautan untuk mengonfirmasi, sebagai cadangan untuk mengirim email "lupa kata sandi" atau pemberitahuan atau pemasaran gumph ke.

Ingatlah bahwa hanya karena Anda memiliki opsi OpenID itu tidak berarti Anda tidak dapat juga memberikan pengguna opsi cadangan untuk memiliki kombo nama pengguna + kata sandi tradisional jika mereka tidak ingin menggunakan OpenID atau tidak memiliki penyedia. Tidak ada yang salah dengan membiarkan pengguna memilih yang mereka inginkan jika mereka tahu, dan jika tidak default ke OpenID , imo :)

Open ID adalah salah satu hal yang Anda suka atau tidak suka - saya pikir itu benar-benar bermuara pada gagasan apakah Anda melihat sentralisasi "keaslian" dengan antusias atau skeptis.

Dengan kata lain, ketika Anda mengetahui akun di situs openid dikompromikan, apakah Anda berpikir, "oh sh! T, sekarang saya berpotensi dikompromikan pada setiap situs yang saya gunakan untuk openid itu," atau "oh bagus, sekarang saya hanya perlu mengubah kata sandi saya untuk semua situs tersebut di satu tempat. "

Bekerja di bidang ini, kami memiliki banyak informasi kredensial login. OpenID memungkinkan saya untuk menggunakan akun yang sudah ada untuk mengotentikasi diri saya tanpa harus menyiapkan akun dan kata sandi lain. Dengan banyak situs mulai mendukung OpenID, ada lebih banyak pilihan di mana autentikator OpenID yang Anda gunakan untuk memvalidasi identitas Anda.

Anda juga dapat mengatur autentikator OpenID Anda sendiri di situs Anda sendiri jika Anda tidak ingin menggunakan salah satu yang sudah ada di luar sana. Dengan cara ini Anda dapat mempertahankan kontrol lebih besar atas informasi apa yang diberikan saat Anda diautentikasi olehnya.

Saya pikir memiliki opsi untuk membuat akun atau menggunakan OpenID untuk mengotentikasi adalah kombinasi hebat yang mencakup paranoid keamanan dan yang menginginkan kemudahan penggunaan.

Saya pikir OpenID hebat, dan kami sedang mempertimbangkannya untuk situs kami. Namun, kami membutuhkan oAuth, dan kami juga menginginkan email dari pengguna. Kami menggunakannya secara luas, dan satu hal yang kami lakukan adalah mengirim email nawala. Kami mengizinkan untuk tidak ikut serta, tetapi agar sistem kami berfungsi, kami menginginkannya.

Tampaknya ada kelompok inti teknologi yang benci untuk menyerah pengguna / pwd, dan saya bisa mengerti itu. Beberapa adalah penganjur privasi, dan saya sepenuhnya mengerti. Beberapa hanya malas, tidak ingin mengatur pengguna / pwd, beberapa hanya pengambil. Mereka ingin mendapatkan informasi dari Internet, tetapi tidak pernah membayar untuk itu, dengan cara apa pun (iklan, biaya, dll.) Saya pikir itu adalah minoritas orang karena kebanyakan orang mengerti bahwa mereka perlu berkontribusi kembali, atau membayar dengan cara tertentu .

Anda perlu memeriksa situs Anda, detail / info apa yang Anda butuhkan, dan kemudian mengambil keputusan apakah memenuhi kebutuhan Anda. Jika ya, Anda dapat menambahkannya di samping metode login saat ini. Apakah Anda perlu menghubungi orang, memberi tahu mereka tentang hal-hal, dll.

Memiliki cara sentral untuk mengotentikasi diri sendiri adalah hal yang hebat, tetapi ada masalah, seperti yang disebutkan, dengan kurangnya perubahan kata sandi / kompleksitas. Namun itu masalah pengguna lebih dari masalah situs. Kompromi terjadi di tingkat pengguna, yang tidak akan pernah kami selesaikan. Tetapi itu berarti bahwa Anda, sebagai pemilik situs, tidak bertanggung jawab jika itu terjadi.

Satu-satunya masalah yang saya lihat dengan OpenID adalah sebagai berikut:

Bayangkan dua situs yang berafiliasi. Keduanya memungkinkan masuknya OpenID. Tentunya mereka dapat berbagi statistik aktivitas antara satu sama lain - katakan saya melakukan tindakan X dan tindakan Y di situs pertama dan kemudian, ketika saya mengunjungi situs kedua saya dibombardir dengan iklan yang ditargetkan, sesuai dengan kegiatan saya di situs pertama. Untuk beberapa alasan kurangnya isolasi antara login OpenID sepertinya sedikit tidak menyenangkan bagi saya.

Tapi masalahnya, kenyamanan utama OpenID (satu, semoga aman, set kredensial) tidak dikalahkan oleh kelemahan yang disebutkan di atas. Saya menggunakan OpenID di mana saja saya bisa, dan saya mengembangkan layanan web untuk penggunaan umum, saya pasti akan membuatnya mendukung OpenID (mungkin dengan opsi pendaftaran konvensional).