Wir entwickeln ein Web-System und erwägen die Verwendung der Open-Id-Funktion. Denken Sie, es ist besser als die übliche Art, Benutzer einzuloggen? Wenn wir die Open-ID-Funktion verwenden, werden die Benutzer zu der Site ihrer Wahl von Open-ID-Anbietern umgeleitet, die weitere Aktionen ausführen würden. Dann müssen sie sich dort einloggen und zurück auf unsere Seite geleitet werden. Würden sich Benutzer damit wohlfühlen?
Hinweis: Es ist eher eine Social-Networking-Site, aber nichts Sperriges.
Antworten:
Ich liebe OpenID und es ist absolut besser als die "traditionelle" Metapher für Anmeldeinformationen pro Site. Ich möchte nicht, dass mehr Anmeldeinformationen verwaltet werden, und ich möchte J. Random Site nicht vertrauen, um die von mir bereitgestellten Anmeldeinformationen sicher zu speichern. Ich denke, dass Benutzer sich damit wohler fühlen werden, wenn es allgemeiner wird. Hoffentlich wird es alltäglicher.
quelle
Bitte weisen Sie darauf hin, wenn wir falsch liegen.
Negative Ansichten
Positive Ansichten
quelle
Vergiss nicht, dass es keine Entweder-Oder-Option sein muss. Sie können (und sollten wahrscheinlich) zusätzlich zu den herkömmlichen Anmeldemethoden OpenID-Unterstützung hinzufügen. Dies schreckt keine "allgemeinen" Benutzer ab - sie verwenden einfach die vorhandene Methode und machen das Leben für diejenigen, die OpenID verwenden, viel angenehmer.
quelle
OpenID bietet eine Reihe von Vorteilen, von denen einer bei der Authentifizierung faulenzen kann. Die Autorisierung ist immer noch Ihr Problem, aber zumindest müssen Sie sich keine Gedanken über das sichere Speichern von Anmeldeinformationen machen. Dies ist meiner Meinung nach eine gute Sache. Das "Netz braucht mehr" vertrauende Parteien "wie serverfault.
quelle
Wenn Sie sich mit einer OpenID anmelden, müssen Sie sich nur einmal bei Ihrem Provider anmelden. Beim zweiten Mal wird die Seite des Providers nicht einmal angezeigt.
Vielleicht wird RPXnow auch interessant.
quelle
Ich persönlich habe die Grenze zur Liebe zu OpenID überschritten. Ich habe mich früher gegen allgemeine Paranoia gewehrt. Jetzt ist es einfach zu schmerzhaft, alles in Ordnung zu halten. Ich bin damit einverstanden, dass Nicht-Tech-Benutzer zunächst Schwierigkeiten haben, aber ich denke, je weiter verbreitet es ist, desto komfortabler werden die Menschen. Einige Sites bieten sowohl ein traditionelles (lokales) Authentifizierungssystem als auch die Möglichkeit, OpenID zu verwenden. Ich denke, dass Bildung hier sehr hilfreich sein wird. Wenn Sie also klar erklären, was OpenID ist und welche Vorteile es hat, wird dies einen großen Beitrag zur Akzeptanz leisten.
Als Single Sign On (SSO) -Technologie ist sie den allgemeinen Risiken eines SSO ausgesetzt. Unter diesem Gesichtspunkt bin ich noch nicht bereit, meine Bank oder meine medizinischen Einrichtungen darin zu integrieren :) Nicht, dass es von ihnen sowieso angeboten wird ...
quelle
Ich werfe das mit OpenID ein, du willst normalerweise OAuth, das kriminell wenig Presse bekommt.
Andere haben genug über OpenID herausgearbeitet, und OAuth fügt hinzu, dass eine andere Site nicht nur über Ihren OpenID-Anbieter weiß, wer Sie sind, sondern auch, was die betreffende Site über Sie wissen darf.
kann alles in Ordnung sein. Wie wäre es mit denen:
So OpenID + OAuth ist eine großartige Kombination, durch die Verwendung sowohl Sie nicht nur an einem einzigen Ort haben einen Benutzernamen und ein Passwort zu halten , sondern auch , wo Sie Informationen über sich behalten und nicht verlieren Übersicht über die Website Zugriff hat , was über Sie Details.
quelle
Ich kann mir ein Szenario vorstellen, in dem OpenID viele Benutzer vor Ort gewinnen wird. Angenommen, eine große Site verliert Millionen von Benutzerkennwörtern an böse Hacker [*], und die Liste wird nicht mehr angezeigt. Die meisten Benutzer geraten in Panik, nicht nur wegen des einen bestimmten Kontos, sondern auch, weil sie für mehrere Websites dasselbe Login / Passwort verwenden. Und sie tun es. Ich weiß ich tue. Und ich behalte diese Konten nicht im Auge, so dass ich meine Passwörter niemals ändern kann .
Wenn ich jetzt weiß, dass ein Bösewicht meine Konten stehlen kann, was werde ich dann tun? Ich werde versuchen, diese überwältigende Aufgabe des Änderns von Passwörtern zu bewältigen. Oder ich stolpere über das OpenID-Konzept und versuche, all diese Konten gelegentlich zu konvertieren. Das würde bedeuten, dass ich effektiv immer noch ein einziges Login / Passwort für mehrere Sites habe, aber jetzt kann ich das Passwort in allen von ihnen zumindest leicht ändern . Und falls böse Hacker meine OpenID stehlen, habe ich ein einziges Problem damit, ein Zurücksetzen des Passworts anzufordern oder zumindest das Konto zu deaktivieren.
[*] - lies: Script Kiddies
quelle
Je mehr ich verschiedene Websites besuche, desto mehr möchte ich eine Funktion zum einmaligen Anmelden.
Jede Website hält ihre für die wichtigste. Jede Website besteht darauf, dass Sie ein Konto erstellen, bevor Sie etwas tun können. StackOverflow, Serverfault, Wikipedia, WowWiki, Wowhead, MS-Foren, CodeProject, CodePlex, weiter und weiter, ...
Sie alle verlangen, dass ich einen eindeutigen Benutzernamen, ein Passwort und meine E-Mail-Adresse auswähle. Dann bestehen sie , dass ich meine E-Mail gehen zu überprüfen , bevor sie lassen Sie mich schreiben, bearbeiten, herunterladen, klicken, kommentieren, bewerten, etc. Es gibt keinen Grund, nicht lassen Sie mich benutzen , um Ihre Website den Zeitpunkt i hinein wandern.
Ich möchte nur, dass sie alle den Mund halten. Ich möchte ein einziges Login, das ich überall verwenden kann, mit einer E-Mail-Adresse, die ein Schwarzes Loch ist, damit ich ihren Müll nie lesen muss.
OpenID scheint das zu sein. Dies war jedoch erst möglich, nachdem Google dies unterstützt hatte. Davor war es StackOverflows eigenes Login-System - sie waren zu faul, sich selbst zu hosten. Jetzt, da Google OpenID unterstützt, ist es tatsächlich vorstellbar, dass es bereits jeder hat.
In diesen Tagen hasse ich es, Konten auf Websites zu erstellen, und verfluche die Betreiber, die meinen, ich müsste zuerst ein Konto erstellen.
Lass mich auch nicht deine Seite verabscheuen .
quelle
Die Verwendung von openId auf beiden Seiten bietet folgende Vorteile: 1. Entwickler müssen das Anmeldesystem (Datenbank, Client-Verarbeitung, App-Sicherheit usw.) nicht implementieren. 2. Benutzer müssen sich keine zusätzlichen Anmeldeinformationen merken.
Auf der anderen Seite könnten Sie einige der Benutzer erschrecken, die nicht wirklich mit dem Computer vertraut sind, und zögern, Ihre Google-Anmeldeinformationen preiszugeben, um sich auf Ihrer Website anzumelden.
Die beste Lösung wäre ein Hibridsystem, das sowohl OpenID- als auch Vor-Ort-Registrierung zulässt, aber dies würde den ersten Vorteil, den ich erwähnte, wirklich zunichte machen.
quelle
Das andere, was OpenID Ihren Benutzern bietet, ist die Möglichkeit, stärkere Anmeldeinformationen zu verwenden. Ich sehe einige Bedenken bezüglich Phishing in den Antworten hier, aber Sie können einen OpenID-Anbieter auswählen, der überhaupt keine phischbaren / wiedergebbaren Anmeldeinformationen verwendet. Beispielsweise werden SSL-Zertifikate oder Informationskarten von einigen Anbietern unterstützt. myOpenID setzt voraus, dass Sie einen Anruf annehmen, bevor Sie sich anmelden können. Ich bin mir ziemlich sicher, dass es andere Websites gibt, die Hardware-Token verwenden.
Ja, die meisten Ihrer Benutzer werden wahrscheinlich nur auf die Yahoo-Schaltfläche klicken und diese nicht verwenden. Aber es gibt ihnen die Wahl, und Sie müssen sich nicht um die Implementierungsdetails kümmern. Ich behaupte, es ist einfacher, Ihrer Site OpenID-Unterstützung hinzuzufügen, als SSL-Zertifikate browserübergreifend zu unterstützen. Und es ist auf jeden Fall einfacher, als alle SSL-Zertifikate, Informationskarten, Telefonüberprüfungen, Tokenüberprüfungen, DDR-Pässe, zufällige Punkt-Stereogramm-Authentifizierungen oder andere verrückte Dinge zu unterstützen, an die sie als Nächstes denken.
quelle
Ich versuche nicht, jemandes Meinung zu ändern. Bitte beachten Sie diese Fakten. OpenID unterscheidet sich nur in zwei Punkten vom Benutzer- und Kennwortauthentifizierungssystem:
Was ich versuche zu zeigen, ist, dass nichts mehr geändert wird:
Das ist wie bei jeder anderen Technologie. Die meisten Dinge, über die die Leute sprechen, sind Mythen, weil sie sich keine Zeit genommen haben, sie zu studieren, oder weil sie eine falsche Implementierung verwendet haben.
quelle
OpenID ist komplizierter und macht Sie davon abhängig, dass die anderen Anbieter nicht ausfallen.
Eines der Probleme, die StackOverflow damit hat, ist, dass Sie Ihre Bewertungen und Abzeichen verlieren, wenn Sie sich mit einer anderen als der von Ihnen verwendeten OpenId anmelden (vielleicht haben sie das schon behoben, haben es noch nicht gehört). Es gab ein Mal, dass ich mich eine Stunde lang nicht anmelden konnte, weil mein Provider nicht erreichbar war.
quelle
Ich hasse openID und es war der Hauptgrund, sich NICHT bei serverfault / stackoverflow anzumelden. Einige Benutzer, wie ich, sind extrem paranoid und mischen nicht gerne Facebook- / Yahoo- / Google-Informationen zwischen verschiedenen Websites
quelle
OpenID stellt IMO zwar konzeptionell vor eine harte Schlacht, da es a) für Entwickler schwierig ist, es zu implementieren und b) für Benutzer schwierig ist, sich an das Konzept der Verwendung einer URL zu gewöhnen. Das Verwendungsmuster von Benutzername / Passwort ist an dieser Stelle ziemlich tief verwurzelt.
Das heißt, werfen Sie einen Blick auf Clickpass ( www.clickpass.com ) an. Sie versuchen aktiv, OpenID benutzerfreundlicher zu machen.
Viel Glück.
quelle
Noch nicht.
Es benötigt Browserunterstützung. Browser würden mit OpenID eine hervorragende Benutzererfahrung erzielen, da sie Ihre Identitäten zentral verwalten und die Dinge sehr einfach gestalten könnten (anscheinend verwendet die Website, die Sie besuchen, OpenID, möchten Sie diese verwenden) http://yahoo.com verwenden) / Benutzer anmelden?) und sichern.
Aber gerade jetzt müssen Sie erhebliche Anstrengungen unternehmen, um OpenID nutzbar zu machen. Nach meinem Dafürhalten müssen Sie entweder OpenID als Option bereitstellen oder Ihren Benutzern Ihren eigenen OpenID-Anbieter zur Verfügung stellen (damit sie den Dienst eines Drittanbieters kostenlos nutzen können).
quelle
Denken Sie an Kunden. Ist Ihr Zielkunde ein Geek? Wenn ja, wird OpenID Ihren Kunden beeindrucken und Ihre Site unterstützen. Wenn nicht, wird die zusätzliche Arbeit, die erforderlich ist, um es nicht für Geeks geeignet zu machen, Ressourcen für die Bereitstellung von Inhalten abschöpfen, die Ihren Kunden wichtig sind. Konzentrieren Sie sich zuerst darauf, Ihrem Kunden einen Mehrwert zu liefern.
quelle
Das Problem mit OpenID ist, dass es für Dinge wie ServerFault großartig ist, bei denen es nicht wirklich darauf ankommt, wie vertrauenswürdig jemandem ist.
Es wird kompliziert, denn wenn ich meinen Authentifizierungsanbieter kontrolliere, vertraue ich diesem Anbieter implizit, weil ich ihn ausführe, und habe ihn vermutlich in dem von mir benötigten Standard implementiert. Wenn ich die Authentifizierung außerhalb meiner Kontrolle versetze, muss ich jetzt auch dem Authentifizierungsanbieter eine Vertrauensebene zuweisen.
Bei meinem Arbeitgeber kann ich laut Gesetz keinem großen OpenID-Anbieter vertrauen, weil:
Das ist keineswegs eine umfassende Liste.
Damit OpenID für nicht triviale Anwendungen funktioniert, benötige ich einen vertrauenswürdigen Anbieter - und muss meine Benutzer auf diesen vertrauenswürdigen Anbieter (oder diese vertrauenswürdigen Anbieter) beschränken. Dadurch wird der gesamte Vorteil "einzelner Benutzername / Kennwort" zunichte gemacht. Selbst dann muss ich möglicherweise noch eine Identitätsüberprüfung für Benutzer mit höheren Vertrauensebenen durchführen. Scheint mir eine Menge Arbeit zu sein, besonders wenn die Verwaltung Ihres eigenen Authentifizierungsanbieters kein Hexenwerk ist.
IMO, Regierungen haben das Potenzial, diese Technologie zum Laufen zu bringen. Wenn ein staatlicher / provinzieller DMV oder die Post einen Dienst anbietet, bei dem Bürger Online-Anmeldeinformationen erstellen, auf die über OpenID zugegriffen werden kann, können Sie den Anmeldeinformationen von Post Office / DMV vertrauen. (Weil die Regierung sagt: "Du sollst uns vertrauen") Ich glaube, dass Länder wie Norwegen und Dänemark bereits individuelle PKI-Ausweise ausstellen.
quelle
Für eine Social-Networking-Site wird OpenID dazu beitragen, technisch versierte Leute anzulocken. Wenn dies jedoch Ihre einzige Option ist, werden alle anderen davon abgeschreckt. Benutzer sind es gewohnt, sich auf jeder Site mit neuen Anmeldungen und Kennwörtern anzumelden. OpenID ist neu und fremd und kann Benutzer dazu bringen, sich zu fragen, warum sie ihre Anmeldeinformationen an Dritte weitergeben. Für einen typischen Benutzer könnte OpenID genauso gut GiveMeYourInformationSoICanSpamYou sagen ... es ist nur ein weiterer Grund für sie, an der Integrität Ihrer Website zu zweifeln.
Kurz gesagt: Bestimmen Sie Ihre Benutzerbasis, und verkratzen Sie entweder OpenID, oder verwenden Sie sowohl OpenID als auch ein anwendungsverwaltetes Anmeldesystem.
quelle
Ich frage mich, warum die Leute OpenID für sicherer halten. Für technisch versierte Benutzer mag dies zutreffen, aber ein gewöhnlicher Benutzer würde den Unterschied zwischen einem echten openID-Login und einem gefälschten, der das Passwort verkratzt, nicht erkennen.
Noch schlimmer ist, dass auch sie wissen, welches openID-Konto mit diesem Passwort verknüpft werden soll, und wahrscheinlich viel mehr Schaden anrichten können als mit einer einfachen Kombination aus Benutzername, E-Mail und Passwort.
openID ist eine technische Lösung für technische Benutzer und für normale Benutzer wenig hilfreich. Für technische Sites mag es also florieren, aber ich sehe das für gewöhnliche Sites in naher Zukunft nicht.
quelle
Ich würde sagen, dass OpenID aus der Sicht des Benutzers aus folgenden Gründen besser ist als die übliche Anmeldelösung :
Denken Sie daran, dass nur, weil Sie die Option OpenID haben, dies nicht bedeutet, dass Sie den Benutzern nicht auch die Sicherungsoption einer herkömmlichen Kombination aus Benutzername und Kennwort geben können, falls sie OpenID nicht verwenden möchten oder nicht möchten ein Anbieter. Es ist nichts Falsches daran, dass Benutzer auswählen, was sie wollen, wenn sie es wissen, und ansonsten standardmäßig OpenID verwenden , imo :)
quelle
Open ID ist eines der Dinge, die Sie entweder lieben oder die Sie hassen - ich denke, es läuft wirklich auf die Idee hinaus, ob Sie die Zentralisierung von "Authentizität" enthusiastisch oder skeptisch sehen.
Mit anderen Worten, wenn Sie feststellen, dass ein Konto auf einer OpenID-Site kompromittiert ist, denken Sie, "oh sh! T, jetzt bin ich auf jeder Site, für die ich diese OpenID verwende, potenziell kompromittiert" oder "oh good, now I" Ich muss nur mein Passwort für alle diese Websites an einem Ort ändern. "
quelle
Wenn wir in diesem Bereich arbeiten, erhalten wir am Ende viele verschiedene Anmeldeinformationen. Mit OpenID kann ich mich über ein bereits eingerichtetes Konto authentifizieren, ohne ein weiteres Konto und Kennwort einrichten zu müssen. Da auf vielen Websites OpenID bereits unterstützt wird, können Sie viel häufiger entscheiden, welchen OpenID-Authentifikator Sie zur Überprüfung Ihrer Identität verwenden.
Sie können auch Ihren eigenen OpenID-Authentifikator auf Ihrer eigenen Site einrichten, wenn Sie keinen der bereits vorhandenen verwenden möchten. Auf diese Weise können Sie genauer steuern, welche Informationen ausgegeben werden, wenn Sie von diesen authentifiziert werden.
Ich denke, die Möglichkeit, ein Konto zu erstellen oder OpenID zur Authentifizierung zu verwenden, ist eine großartige Kombination, die sowohl die Sicherheitsparanoiden als auch diejenigen abdeckt, die eine einfache Bedienung wünschen.
quelle
Ich finde OpenID großartig und wir ziehen es für unsere Site in Betracht. Wir benötigen jedoch oAuth und möchten die E-Mail auch von den Benutzern. Wir nutzen das ausgiebig und eine Sache, die wir tun, ist eine E-Mail an einen Newsletter. Wir erlauben das Deaktivieren, aber damit unser System funktioniert, möchten wir das.
Es scheint, dass es eine harte Kerngruppe von Techies gibt, die es hassen, einen Benutzer / pwd aufzugeben, und das kann ich verstehen. Einige sind Befürworter der Privatsphäre, und ich verstehe das vollkommen. Einige sind nur faul, wollen keinen Benutzer / pwd einrichten, andere sind nur Nehmer. Sie möchten Informationen aus dem Internet beziehen, aber bezahlen sie in keiner Weise (Werbung, Kosten usw.). Ich denke, das ist eine Minderheit der Menschen, da die meisten Menschen verstehen, dass sie einen Beitrag leisten oder auf irgendeine Weise bezahlen müssen .
Sie müssen Ihre Site untersuchen, welche Details / Informationen Sie benötigen, und dann eine Entscheidung treffen, ob sie Ihren Anforderungen entspricht. In diesem Fall können Sie es zusätzlich zur aktuellen Anmeldemethode hinzufügen. Müssen Sie Kontakt mit Personen aufnehmen, diese über Dinge informieren usw.
Es ist großartig, eine zentrale Möglichkeit zur Authentifizierung zu haben. Wie bereits erwähnt, gibt es jedoch Probleme mit dem Fehlen von Kennwortänderungen / -komplexität. Dies ist jedoch mehr ein Benutzerproblem als ein Site-Problem. Auf Benutzerebene findet ein Kompromiss statt, den wir niemals lösen werden. Dies bedeutet jedoch, dass Sie als Websitebesitzer nicht dafür verantwortlich sind, wenn dies auftritt.
quelle
Das einzige Problem, das ich mit OpenID sehe, ist das folgende:
Stellen Sie sich zwei verbundene Standorte vor. Beide erlauben die OpenID-Anmeldung. Dann können sie sicherlich die Aktivitätsstatistiken untereinander austauschen - sagen wir, ich mache Aktion X und Aktion Y auf der ersten Site und wenn ich dann die zweite Site besuche, werde ich mit gezielten Anzeigen entsprechend meinen Aktivitäten auf der ersten Site bombardiert. Aus irgendeinem Grund scheint mir die fehlende Isolation zwischen den OpenID-Logins etwas unangenehm.
Aber die Sache ist, dass die ultimative Bequemlichkeit von OpenID (eine, hoffentlich sichere, Reihe von Anmeldeinformationen) nicht durch den oben genannten Nachteil in den Schatten gestellt wird. Ich benutze OpenID, wo immer ich kann, und sollte ich einen Webdienst für die öffentliche Nutzung entwickeln, würde ich auf jeden Fall dafür sorgen, dass er OpenID unterstützt (möglicherweise mit einer herkömmlichen Registrierungsoption).
quelle