Open ID лучше, чем обычная система входа в систему? [закрыто]

Я думаю, что OpenID является большим, и мы рассматриваем это для нашего сайта. Однако нам был бы нужен OAuth, и мы будем желать электронную почту от пользователей также. Мы используем это экстенсивно, и одной вещью, которую мы делаем, является электронная почта новостная рассылка. Мы позволяем уклонение этого, но чтобы наша система работала, мы хотели бы это.

Кажется, что существует группа ядра техников, которые очень не хотят бросить user/pwd, и я могу понять это. Некоторые - защитники конфиденциальности, и я полностью понимаю. Некоторые просто ленивы, не хотите настраивать user/pwd, некоторые - просто берущие. Они хотят получить информацию из Интернета, но никогда не платить за него в так или иначе, всегда (реклама, стойте, и т.д.), я думаю, что это - меньшинство людей, поскольку большинство людей понимает, что они должны способствовать назад, или плата в некотором роде.

Необходимо исследовать сайт, в каких деталях/информации Вы нуждаетесь и затем принимаете решение о том, если он удовлетворяет Ваши потребности. Если это делает, можно добавить его в дополнение к текущему методу входа в систему. Необходимо ли связаться с людьми, сообщить им о вещах, и т.д.

Наличие центрального способа аутентифицировать себя является большим, но существуют проблемы, как упомянуто, с отсутствием изменений/сложности пароля. Однако это - пользовательская проблема больше, чем проблема сайта. Компромисс происходит на уровне пользователя, который мы никогда не будем решать. Но это означает, что Вы, как владелец сайта, не ответственны, если это происходит.

При работе в этом поле мы заканчиваем с большой различной информацией о данных для входа в систему. OpenID позволяет мне использовать уже установленную учетную запись для аутентификации меня, не имея необходимость устанавливать еще одну учетную запись и пароль. Со многими сайтами, начинающими поддерживать OpenID существует намного больше выбора, в котором аутентификаторе OpenID Вы используете для проверки идентификационных данных.

Можно также установить собственный аутентификатор OpenID на собственном сайте, если Вы не хотите использовать один из уже существующих там. Таким образом, можно обеспечить больше контроля точно, какая информация выделяется, когда Вы аутентифицируетесь им.

Я думаю, имея опцию создать учетную запись или использовать OpenID для аутентификации, большая комбинация, которая покрывает и параноидальную безопасность и тех, которые хотят простоту использования.

Я сказал бы, что да, OpenID лучше, чем обычное решение для входа в систему с точки зрения пользователя по этим причинам:

• Я не должен помнить еще одно имя пользователя и пароль для Вашего сайта
• Я могу использовать один идентификатор для входа в систему для нескольких сайтов, если я хочу
• Я всегда получаю то же имя пользователя - никакие числа добавления и случайное дерьмо на конце идентификаторов для входа в систему, пока я не получаю тот, который это свободно
• Это станет более популярным и лучше понятым под пользователями со временем
• При объяснении пользователям, как это работает и преимущества для них довольно просты
• У большинства пользователей будет учетная запись бесплатного e-mail от Yahoo или Google, который они могут использовать в качестве поставщика OpenID-> они, вероятно, даже не знают, что это возможно.
• Пользователи могут все еще дать другой адрес электронной почты OpenID-поставщику один (если это - бесплатная учетная запись yahoo/gmail/whatever), в котором Вы можете сделать, чтобы они нажали на ссылку подтвердить как резервное копирование для отправки "забытого мой пароль" электронные письма или другие уведомления или маркетинг gumph к.

Помните, что просто, потому что у Вас есть опция OpenID, который это не означает, Вы не можете также дать пользователям резервную опцию наличия традиционной username+password комбинации в случае, если они не хотят использовать OpenID или не имеют поставщика. Ничто неправильно с разрешением пользователям выбрать, который они хотят, если они знают, и иначе принимающий значение по умолчанию к OpenID, imo :)

Интересно, почему люди думают открытые, более безопасно. Для технически подкованных пользователей это могло бы применяться, но обычный пользователь не определит различие между реальным открытым входом в систему и фальшивым, который очистит пароль.
Еще хуже, они также будут знать, который открыл учетную запись для соединения с этим паролем и может, вероятно, дать выход намного большему повреждению, чем с простой комбинацией имени пользователя/электронной почты/пароля.

открытый техническое решение для технических пользователей, и не очень полезный для обычных пользователей. Таким образом для технических сайтов это могло бы процветать, но я не вижу это для обычных сайтов в ближайшее время.

Для сайта социальной сети OpenID поможет притянуть технически подкованное. Однако, если это будет Вашей единственной опцией, то она отпугнет всех остальных. Пользователи приучены к регистрации с новыми логинами и паролями на каждом сайте. OpenID является новым и внешним, и может заставить пользователей задаться вопросом, почему они дают свои учетные данные третьему лицу. Типичному пользователю OpenID мог бы также заявить, что GiveMeYourInformationSoICanSpamYou... это - просто еще одна причина для них сомневаться относительно целостности Вашего сайта.

Короче говоря - определяют Вашу базу пользователей, и или царапают OpenID или используют и OpenID и управляемую приложением систему входа в систему.

Проблема с OpenID, это является большим для вещей как ServerFault, где уровень доверия в чьих-то идентификационных данных не является действительно соображением - после того как Вы начинаете заботиться, это - то, где жизнь является сложной.

Это сложно, потому что, когда я управляю своим поставщиком аутентификации, я слепо доверяю тому поставщику, потому что я выполняю его и по-видимому реализовал его к стандарту, которого я требую. Когда я перемещаю аутентификацию за пределами своего управления, я теперь должен присвоить уровень доверия поставщику аутентификации также.

В моем работодателе, согласно закону, я не могу доверять НИКАКОМУ крупному поставщику OpenID там потому что:

• Они не осуществляют периодические изменения пароля
• Они не осуществляют длину пароля / сложность
• Я не могу контролировать их методы управления системами

Это не всесторонний список каким-либо образом.

Чтобы заставить OpenID работать на нетривиальные приложения, я нуждаюсь в доверяемом поставщике - и должен ограничить моих пользователей тем доверяемым поставщиком (или поставщиками). Такие поражения целое "единственное имя пользователя/пароль" преимущество. Даже затем я, возможно, все еще должен сделать некоторую проверку идентификационных данных для пользователей на более высоких доверительных уровнях. Походит на большую работу мне, особенно когда управление Вашим собственным поставщиком аутентификации не является аэрокосмическими исследованиями.

IMO, у правительств есть потенциал, чтобы заставить эту технологию работать. Если бы DMV состояния/провинциальный или почтовое отделение предложили услугу, где граждане устанавливают учетные данные онлайн, доступные через OpenID, Вы смогли бы доверять Почтовому отделению/DMV учетные данные. (Поскольку правительство заявляет: 'Необходимо доверять нам'), я полагаю, что страны как Норвегия и Дания уже выпускают отдельные учетные данные PKI.

Думайте клиенты. Действительно ли Ваш целевой клиент является фанатом? Если да, OpenID произведет на Вашего клиента впечатление и поможет Вашему сайту. В противном случае дополнительная работа в создании его дружелюбный нефанат собирается осушить ресурсы от обеспечения содержания Ваших клиентских забот о. Внимание на поставку значения Вашему клиенту сначала.

Еще нет.

Этому нужна поддержка браузера. Браузеры завершили бы превосходный пользовательский опыт с OpenID, поскольку они могли управлять Вашими идентификационными данными централизованным способом и сделать вещи очень простыми (кажется, что веб-сайт, который Вы посещаете, использует OpenID, Вы хотите использовать http://yahoo.com/user для входа в систему?) и безопасный.

Но прямо сейчас, Вам нужно значительное усилие сделать OpenID применимым. Поскольку я вижу его, Вы или должен обеспечить OpenID как опцию или предоставить Вашего собственного поставщика OpenID Вашим пользователям (делающий их свободный использовать сервис третьего лица).

OpenID, в то время как хороший концептуально сталкивается с IMO тяжелое сражение, потому что это a) трудный для разработчиков реализовать и b) трудный для пользователей привыкнуть к понятию использования URL. Шаблон имени пользователя/использования пароля довольно плотно внушен в этой точке.

Тем не менее взгляните на Clickpass (www.clickpass.com). Они активно пытаются сделать OpenID легче использовать.

Удачи.

Я ненавижу открытый, и это была главная причина НЕ подписаться в serverfault/stackoverflow Что относительно пользовательской конфиденциальности? Некоторые пользователи, как я, - чрезвычайно параноики, и не любит смешивать информацию о Facebook/Yahoo/Google между различными веб-сайтами

Существуют преимущества использования, открытого с обеих сторон: 1. Разработчики не должны реализовывать систему входа в систему (база данных, клиент, обрабатывающий, безопасность приложения и т.д.) 2. Пользователи не должны помнить дополнительный набор учетных данных.

На руке onther Вы могли бы испугать некоторых пользователей, которые не являются действительно компьютером savy и откажутся отдать, говорят что thetir учетные данные Google для входа в систему в сайт.

Лучшим решением была бы гибридная система, допуская и OpenID и локальную регистрацию, но это действительно разрушит первое преимущество, которое я упомянул.

Чем больше я посещаю различные веб-сайты, тем больше я хочу функцию единой точки входа.

Каждый веб-сайт думает их в самом важном. Каждый веб-сайт настаивает, чтобы Вы создали учетную запись, прежде чем можно будет сделать что-либо. StackOverflow, Serverfault, Википедия, WowWiki, Wowhead, Форумы MS, CodeProject, CodePlex, вперед и вперед...

Они все требуют, чтобы я создал выбор уникальное имя пользователя, пароль, и раскошелился на мой адрес электронной почты. Затем они настаивают, чтобы я пошел, проверяют мою электронную почту, прежде чем они позволят мне отправить, отредактировать, загрузите, нажмите, прокомментируйте, оцените и т.д. Нет никакой причины не позволить мне использовать Ваш сайт момент, я блуждаю в него.

я просто хочу, чтобы они все замолчали. я хочу единственный вход в систему, который я могу просто использовать везде с адресом электронной почты, который является черной дырой, таким образом, я никогда не должен читать их мусор.

OpenID, кажется, это. Но это было только возможно, после того как Google поддерживал его. Перед этим это была собственная система входа в систему propritary StackOverflow - что они были слишком ленивы для хостинга себя. Теперь, когда Google поддерживает OpenID, на самом деле возможно, что у всех уже будет он.

В эти дни, я не желающая необходимость создать учетные записи на веб-сайтах и проклясть операторы, кто думает, что мне придется создать учетную запись сначала.

Не заставляйте меня ненавидеть Ваш сайт, также.

Я могу думать о сценарии, когда OpenID получит многих пользователей на месте. Предположим, что крупнейший сайт теряет миллионы паролей пользователя злым хакерам [*], и список просачивается. Большинство пользователей будет в панике, не только из-за одной определенной учетной записи, но потому что они используют тот же вход в систему/пароль для нескольких сайтов. И они делают. Я знаю, я делаю. И я не отслеживаю эти учетные записи, таким образом, результат состоит в том, что я никогда не могу изменять свои пароли.

Теперь, когда я знаю, что злодей может украсть мои учетные записи, что я сделаю? Я попытаюсь пройти через эту подавляющую задачу изменяющихся паролей. Или я наткнусь на понятие OpenID и попытаюсь преобразовать все эти учетные записи в случае. Это означало бы, что у меня эффективно все еще есть единственный вход в систему/пароль для нескольких сайтов, но теперь я могу по крайней мере легко изменить пароль во всех них. И в случае, если злые хакеры крадут мой OpenID, у меня есть единственная проблема, чтобы сделать запрос на восстановление пароля или по крайней мере отключить учетную запись.

[*] - чтение: деточки сценария

Я лично перешел строку к любви OpenID. Я раньше был стойким к нему от общей паранойи. Теперь это - просто слишком много боли в $ a$ для хранения всего прямо. Я действительно соглашаюсь, что нетехнические пользователи могли бы бороться сначала, но я думаю более широко распространенное, это становится более удобными людьми, доберется. Некоторые сайты предлагают и традиционную (локальную) систему аутентификации и также опцию использования OpenID. Я думаю, что образование собирается помочь много здесь, поэтому если Вы ясно объясните, что OpenID и его преимущества затем, то это будет иметь большое значение для принятия.

Как технология Единой точки входа (SSO) это открыто для общих рисков любого SSO. С той точки зрения я еще не готов интегрировать свой банк или медицинские сайты в него :) Не то, чтобы это предлагается ими так или иначе...

Я добавлю это с OpenID, Вы обычно хотите OAuth, который получает преступно низкое нажатие.

Другие уточнили достаточно о OpenID, OAuth добавляет к набору, что другой сайт не только знает, кто Вы через своего поставщика OpenID, но и можно также сказать то, что рассматриваемому сайту позволяют знать о Вас.

• электронная почта потребностей для пользовательских деталей
• потребности first-/lastname для пользовательских деталей
• страна потребностей

может быть весь штраф. Как насчет тех:

• номер социального страхования
• номер кредитной карты
• номер телефона
• почтовый адрес

Так OpenID + OAuth является большой комбинацией, и при помощи Вас не только имеют единственное место для хранения имени пользователя и и при помощи пароля, но также и где Вы сохраняете детали о себе и не теряете обзор, о котором сайт имеет доступ к какой детали о Вас.

OpenID обеспечивает много преимуществ, руководителя среди них разрешающий Вам стать ленивым с аутентификацией. Авторизация является все еще Вашей проблемой, но по крайней мере Вы не должны быть приблизительно что касается безопасного хранения учетных данных. Это - хорошая вещь, по-моему. 'Сети нужно больше 'полагающихся сторон как serverfault.

Если Вы входите в систему с OpenID, только необходимо войти в поставщика однажды - во второй раз, пользователь не будет даже видеть страницу поставщика.

Кроме того, возможно, RPXnow будет интересен.

Не забывайте, что это не должна быть альтернативная опция. Вы можете (и вероятно должен) добавлять поддержку OpenID в дополнение к традиционным методам входа в систему. Это не отпугнет 'общих' пользователей - они просто используют существующий метод при создании жизни намного более приятной для тех, кто использует OpenID.

Укажите, неправы ли мы.

Отрицательные представления

• Мы думаем для обычных пользователей, это НЕ мог бы быть предпочтительный путь.
• Пользователи, у которых есть меньше технического знания, думали бы дважды или запутались бы.
• Они НЕ привыкли к нему.
• Они должны помочь открытому идентификатору от определенного поставщика, который мог бы быть раздражающим им.
• Они могли бы ненавидеть его, потому что они будут перенаправлены на другой сайт.
• Они могли бы понять его превратно!

Позитивные взгляды

• Это защищено, потому что мы не просим их учетные данные.
• Это быстрее когда-то вошло в систему.
• "Преодолевает учетное перегорание". Очень трудно отследить, сколько людей пропускает сайт, потому что они отказываются поддерживать еще одно имя пользователя/пароль. - Мафия Kara

OpenID более сложен, и делает Вас зависящими от других поставщиков, не спускающихся.

Одна из проблем, которые StackOverflow имеет с ним, то, что, если Вы регистрируетесь с другим OpenId, чем обычный, Вы используете, Вы теряете свои оценки и значки (возможно, они зафиксировали это к настоящему времени, не услышали). Было одно время, я не мог регистрироваться в течение часа, потому что мой поставщик снизился.

Единственная проблема, которую я вижу с OpenID, следующая:

Вообразите два связанных сайта. Они оба позволяют вход в систему OpenID. Конечно, затем они могут совместно использовать статистику действия друг между другом - говорят, что я делаю действие X и действие Y на первом сайте и затем, когда я посещаю второй сайт, я засыпан целенаправленной рекламой, согласно моим операциям по первому сайту. По некоторым причинам отсутствие изоляции между логинами OpenID кажется немного неприятным для меня.

Но вещь, что окончательное удобство OpenID (один, надо надеяться, защитите, набор учетных данных) не становится затмеваемым вышеупомянутой оборотной стороной. Я использую OpenID везде, где я могу и был мной для разработки веб-сервиса для общедоступного использования, я определенно заставлю его поддерживать OpenID (возможно, со стандартной регистрационной опцией).

Откройте ID является одной из тех вещей, которых Вы или любите или ненавидите идею - я думаю, что это действительно сводится к идее того, просматриваете ли Вы централизацию "authentity" с энтузиазмом или скептически.

Другими словами, когда Вы узнаете, что учетная запись на открытом сайте поставлена под угрозу, сделайте Вы думаете, "о, тсс! t, теперь я потенциально скомпрометирован на каждом сайте, который я использую, который открылся для", или, "о, хороший, теперь я только должен изменить свой пароль для всех тех сайтов в одном месте".

Другой вещью, которую OpenID дает Вашим пользователям, является способность использовать более сильные учетные данные. Я вижу некоторую озабоченность по поводу фишинга в ответах здесь, но можно выбрать поставщика OpenID, который не использует phishable/replayable учетные данные вообще. Сертификаты SSL или Информационные карты, например, поддерживаются на некоторых поставщиках. myOpenID имеет вещь, где он требует, чтобы Вы ответили на телефонный звонок, прежде чем можно будет войти в систему. Я вполне уверен существуют другие сайты то использование аппаратные ключи.

Да, большинство Ваших пользователей, вероятно, просто нажмет кнопку Yahoo и не использование это. Но это дает им выбор, и Вы не должны волноваться о деталях реализации. Я утверждаю, что легче добавить поддержку OpenID Вашему сайту, чем это должно поддерживать сертификаты SSL в перекрестном браузере путь. И это, конечно, легче, чем поддержка всех сертификатов SSL, Информационных карт, телефонной проверки, маркерной проверки, DDRpass, случайного точечного автора стереограммы, или безотносительно дурацкой вещи, о которой они думают затем.

Я не пытаюсь передумать. Рассмотрите эти факты. OpenID является только двумя вещами, отличающимися от user+password системы аутентификации:

• поместите, где Ваша аутентификация происходит. Если Вы использовали name+password прежде, место изменений OpenID, где пароль проверяется. Если Вы использовали сертификат прежде, изменения OpenID, где сертификат проверяется.
• OpenID URL уникален для целого WWW (не рассматривающий альтернативный корневой DNS-es)

То, на что я пытаюсь указать, то, что ничто больше не изменяется:

• OpenID не является заменой для регистрационной процедуры (но он может упростить регистрацию через sREG расширение),
• это не менее безопасно. Если один использовал короткие пароли прежде, он будет использовать их снова.
• это не подразумевает, что у Вас не могут быть сотен различных идентификаторов для каждого веб-сайта там для параноидальных людей.
• это не подразумевает "OMG, это - технология фаната, убегите!!". Нет, можно сделать хорошие начищенные пуговицы как группа StackOverflow сайтов, сделал для общих поставщиков OpenID. Это намного более удобно для пользователя.
• это не подразумевает перенаправления. Можно сделать аутентификацию в iframe или отдельном окне браузера.

Это похоже с любой другой технологией. Большинством вещей люди говорят об этом, является миф, потому что они не не торопились для изучения его или потому что они использовали неправильную реализацию.