Вы видите честный бит (в сообществе Geek) в отношении OpenID. Это кажется хорошей идеей. Я разрабатываю веб-сайт, который будет нацелен на несколько менее вызывающую аудиторию (но не совсем маму и попс), поэтому мне нужно задаться вопросом, будет ли OpenID слишком "сложно" для некоторых аудиторий.
Как вы думаете? Что в стороне, есть ли какие-либо другие технические или нетехнические причины НЕ использовать OpenID?
Средние пользователи все еще не понимают, что такое OpenId, для чего он нужен или как его использовать. Например, мои родители не могли войти в Stack Overflow.
Говоря об этом, в основном это касается пользовательского интерфейса. Там ничего изначально не мешает им использовать OpenId - им просто нужен пользовательский интерфейс, который абстрагирует от них OpenId и просто позволяет им войти в свою учетную запись Google (например).
Может быть немного неточно сказать, что средний человек не понимает OpenID.
В большинстве случаев с небольшим убедительным маркетингом (например, "ИСПОЛЬЗУЙТЕ ОДИН ВХОД НА ВСЕХ САЙТАХ! 11!" ) они могут понять, что он позволяет им регистрироваться на сайтах, используя один логин, а не иметь кучу разных имен пользователей и пароли на разных сайтах.
Проблема, однако, в том, что для обычного пользователя весь опыт OpenID идет вразрез с тем, что, по их мнению, является безопасностью в Интернете.
Пользователи не будут автоматически доверять ему
При использовании обычных логинов/паролей пользователи понимают, что пароль должен храниться в секрете и защищать их конфиденциальность при входе на сайт. Как они понимают обмен, который происходит между клиентским сайтом OpenID и их провайдером OpenID? Все, что они знают, им не нужно вводить пароль (предполагая, что они "всегда вошли в систему" у своего провайдера OpenID) - так что это не безопасно? Я имею в виду, в глазах пользователя, как он может быть безопасным, если они не дают пароль? Это может привести к недоверию пользователей.
Это упрощает фишинг
(Многие) пользователи знают, что неправильно повторять использование одного и того же пароля для разных учетных записей, но это, как представляется, именно то, что делает OpenID. Что делать, если пользователь просто предполагает, что все, что делает их поставщик OpenID, - это обмен их паролем со всеми участвующими сайтами? Я имею в виду, как еще OpenID мог "войти в систему для них" на всех этих сайтах? Если пользователь предполагает, что через OpenID их пароль станет известен всем участвующим сайтам OpenID, они могут предположить, что вполне разумно выдать этот пароль любому из этих сайтов. Это фишинг-кошмар. Представьте, что вы наложили эту фразу на свой сайт: "Пожалуйста, введите ваше (некоторое имя поставщика OpenID) [] и пароль []". Вы уже фишируете людей.
Мы также не должны забывать, что пользователь был бы прав в своих подозрениях в одном отношении, даже если по какой-то другой причине: если кто-то получает доступ к своему провайдеру OpenID, он получает доступ к своей личности на всех сайтах, где они использовали эту идентификацию, что является одним и тем же недостатком использования одного и того же пароля на нескольких сайтах.
Он слишком сильно отклоняется от понимания пользователями
Множество имен пользователей/паролей на разных сайтах не сложно понять пользователям. Пользователи хорошо понимают концепцию имен пользователей и паролей, потому что они используются для них, и точка безопасности (факт, что пароль является секретом) для них действительно очевидна. Это действительно ясно, как работает пароль. Наличие нескольких комбинаций имени пользователя и пароля не делает это более запутанным или сложным - это одно и то же, но более одного из них. Хотя запоминание нескольких паролей может быть затруднено, пользователи хотя бы знают, как это сделать и как это работает.
OpenID пытается решить проблему запоминания нескольких паролей, но в процессе он создает совершенно новую парадигму, совершенно непрозрачную для пользователей. В отличие от пароля, чья безопасность очевидна (он просто должен быть секретным), вся безопасность OpenID идет за кулисами, с сайтами, обменивающимися друг с другом, ключами и хэшами и т.д. Пользователь больше не полностью понимает, как их конфиденциальность защищается или что скрывается от кого, потому что они не понимают, как работает система. Таким образом, в попытке решить проблему запоминания нескольких паролей OpenID создал мистическую систему обмена ключами, которая нарушает понимание пользователем того, как работает аутентификация и почему она защищена.
OpenID впечатляюще восприимчив к попыткам фишинга. Если вы запустите сайт OpenID, попробуйте изменить страницу входа в систему в один прекрасный день, чтобы запросить пароль и, вместо обычного подхода только запрашивать идентификатор и перенаправлять провайдеру OpenID запрос пароля пользователя. Бьюсь об заклад, вы можете получить более четверти ваших паролей пользователей таким образом.
Да, безопасность. Использование OpenId позволяет вам управлять своими учетными записями. У вас нет контроля над защитой паролем и идентификаторами пользователей. Вы доверяете какой-либо другой организации, чтобы убедиться, что люди, пришедшие на ваш сайт, являются тем, кем они себя называют. Если вам действительно нужно убедиться, что кто-то есть, кто они такие. Вы не получите этого с открытым идентификатором, не выполняя какую-либо вторичную проверку самостоятельно. в этом случае вы можете просто не использовать OpenId.
http://www.computerworld.com/s/article/9179224/Researchers_Password_crack_could_affect_millions
Это очень много.
Хорошее правило:
Если вам нужно собрать и сохранить индивидуальный личный идентификатор информации, не используйте OpenID.
Если вам не нужно собирать и хранить индивидуальный личный идентификатор информации, предлагайте OpenID как метод входа в систему.
Для электронной коммерции или где-либо еще, что вам нужно для соблюдения сертификации PCI/DSS, я бы не использовал OpenID.
Я не возражаю, что SO - это исключительно OpenID, однако я бы не сделал сайт, который использовал его исключительно.
Интерфейс ужасен.
а. Регистрация с OpenID занимает больше времени и подкованных. Нормальная регистрация занимает очень мало времени или подкованных. Регистрация происходит один раз, но это большие авансовые инвестиции, поэтому сайт должен быть очень привлекательным.
б. Подписание включает в себя: три части данных вместо двух; две веб-страницы вместо одной (три в StackOverflow, фактически); и внешний веб-сайт. КАЖДЫЙ РАЗ.
с. Для такого решения есть лучшие интерфейсы. Например, я использую KeePass.
Сопоставления имен. Нет способа гарантировать уникальные имена.
Безопасность ужасна.
а. Он поощряет поведение, подобное фишеру. Это не так плохо, как "Проверено Visa", но оно близко.
б. Единственная точка отказа: если вы что-то теряете, вы теряете все. KeePass по крайней мере позволяет мне физически защищать пароль (на нем должен быть жесткий диск с зашифрованной базой данных).
с. Кросс-сайт отслеживания. Компании с кредитными картами действительно имеют правила, определяющие, сколько отслеживания их разрешено делать. Куки файлы можно выборочно отключить или предотвратить в современных браузерах. У OpenID нет правил и нет губернаторов.
Это не универсально. Google предоставляет OpenID... но не использует их. То же самое для Yahoo. И для AOL. Там нет стимула для провайдера OpenID разрешить использование OpenID от других поставщиков.
OpenID полезен для аутентификации, но не для авторизации, особенно для чего-либо чувствительного (например, кредитных карт).
Для меня лично я использую один логин/пароль для каждого сайта, и я использую KeePass (который я могу защитить физически и с двумя слоями паролей, которые должны быть взломаны), чтобы поддерживать абстракцию с одним входом для всех.
Это включает StackOverflow: я создал OpenID специально для вас, ребята, и я никогда не буду использовать его где-либо еще. Я сделал это, и я терплю боль в регистрации, потому что контент является убедительным.
Но если для StackOverflow был предоставлен реальный метод auth, я бы набросился на него в одно мгновение, просто для удобства использования.
OpenID по-прежнему небезопасен, как и любой другой метод аутентификации на основе пароля. На самом деле, это еще хуже, потому что, если кто-то получает доступ к вашему OpenID, у них больше, чем только одна учетная запись. Конечно, там также фишинг-атаки, но мы все подкованные программисты, базы данных и системные администраторы, поэтому мы не будем падать за такие вещи, верно?
Безопасность аутентификации основана на доверии. Как указывали другие, почему вы доверяете третьей стороне потенциально конфиденциальной информации? Конечно, вы можете настроить OpenID-сервер самостоятельно, но сколько хлопот связано с сохранением отдельных паролей на нескольких системах? Конечно, вы можете создавать безопасные пароли, длинные и полные не буквенно-цифровых символов, и даже хранить их все в диспетчере паролей (я знаю), но некоторые сайты ошибочны в том, что простая форма для восстановления пароля может быть заполнена, чтобы получить доступ к reset паролю.
Вероятно, я склонен поддерживать и даже evangelise OpenID, если бы он защищал аутентификацию на основе частного ключа, а также SSH или PGP. Возможно, это вопрос поставщика, предлагающего такой метод - я еще не изучил его [пока].
Наконец, хотя мы все доверяем OpenID достаточно, чтобы использовать его для проверки подлинности в Stack Overflow, мой OpenID является "выбросом", и его не так, как будто я использую это как инструмент для создания профессиональной репутации (т.е. мое настоящее имя isn вовлечен;-)). Я уверен, что я не единственный (такой классный и потрясающий, как этот сайт!).
OpenID хорош, если все сайты используют его. Но зарегистрироваться в OpenID просто для использования ОДНОГО сайта, это слишком много. Регистрация на OpenID не так проста, как непосредственная регистрация на сайте (с точки зрения потребителя).
Мне смешно читать эту тему, это точно отражает мой опыт работы с OpenID:
StackOverflow.com был для меня причиной получения OpenID.
Многие поисковые запросы Google привели меня на этот сайт, и я никогда не мог оставлять комментарии.
Я думал о регистрации много раз, но я не из-за OpenID. Мне было непонятно, что именно.
Но однажды я принял решение зарегистрироваться, и мне потребовалось некоторое время, но я не жалею об этом, потому что я использую его каждый день. Это дает мне более безопасное чувство, хотя я знаю, что это только одна учетная запись, которая привела бы к множеству проблем, если она будет фишироваться.
Итак, для меня OpenID - отличный способ быстро войти на сайты, которые я не знаю, но также и на более крупных сайтах, таких как StackOverflow.com
Основная проблема заключается в том, что новые пользователи должны быть введены в процесс регистрации, а затем узнать, насколько отличным OpenID на самом деле.
Сегодня я столкнулся с одной статьей, которая делает очень сильным аргумент в пользу пропуска OpenID, от того, кто изначально был в восторге от этого.
Open ID Is A Nightmare
Я всегда был основным сторонником Открыть идентификатор. Мне нравится идея и намерение - это отличное решение для многолетняя проблема и решает много проблем для разработчиков. К сожалению, это создает больше тонны для владельцев бизнеса.
Прочитайте остальное здесь: http://www.wekeroad.com/2010/11/17/open-id-is-a-party-that-happened/
Это не моя история, поэтому я не беру на это никаких сомнений.
Это хорошо, как дополнение к обычной регистрации, но не очень легко использовать, если это единственный способ войти в ваш сайт. Посмотрите на регистрацию в stackoverflow - все сайты специально упомянуты, чтобы помочь людям понять, что это такое. И этот сайт для выродков:) Таким образом, минус - это сложность.
Также см. эта ссылка
Если у вас есть сайт, который требует высокого уровня безопасности, вы не хотите оставлять обработку учетных данных для входа внешнему провайдеру, где у вас нет контроля над доступом. Если поставщик OpenID взломан, вы оставите свою безопасность до них.
Каждый может связать то, что я делаю на одном сайте, с тем, что я делаю на других сайтах при использовании OpenID, потому что он одинаковый везде. Поэтому я бы не использовать один и тот же идентификатор я использую здесь для порносайтов, например.
есть много причин это одна учетная запись, которая обеспечивает доступ ко всем. если это скомпрометировано, у вас возникают проблемы.
если вы настраиваете страницу, использующую openid, тогда вы должны знать, что каждый может настроить один openid-сервер (также спамеры могут это сделать).
-
но openid имеет хорошие идеи, и мне нравится его использовать!
Я удивлен, что кто-то, кто использовал Stack Overflow, не мог думать о причине НЕ использовать OpenId - потому что это раздражает как ад?!
Тед Дзюба сделал гораздо лучшую работу скопировав в OpenId, чем я, так что просто прочитайте то, что он написал.
Еще одна веская причина - Facebook Connect уже, кажется, очень хорошо. Поскольку членство в Facebook продолжает расти, это сделает поддержку Facebook Connect намного более ценной.
В какой-то момент я полагаю, что Facebook может сделать Connect провайдером OpenId... но действительно, зачем им это нужно?
Из того, что я могу сказать, похоже, что поставщик OpenID не обязан выдавать адрес электронной почты владельца учетной записи, хотя некоторые делают.
Если вашему сервису требуется адрес электронной почты для связи со своими пользователями (например, для отправки бюллетеня, который предпочитают многие люди, которые никогда не слышали о RSS), вам может потребоваться захват OpenID и проверка электронной почты адрес.
Система, в которой требуется только адрес электронной почты и пароль, и которая использует сообщение электронной почты активации, будет меньше работать для пользователей.
Количество провайдеров вашей учетной записи OpenID (google, yahoo, twitter и т.д.) равно числу учетных записей, которые вы можете автоматически использовать для входа на сайт с поддержкой OpenID. Это, конечно, не преимущество, но это может быть большим недостатком.