ist OpenID wirklich so schlimm?

31

Ich habe diese Frage auf Quora gesehen, bei der viele Leute der Meinung zu sein scheinen, dass OpenID schlecht ist.

OpenID ist die schlechteste "Lösung", die ich jemals in meinem Leben für ein Problem gesehen habe, das die meisten Menschen nicht wirklich haben

Dann habe ich Artikel und Tweets gesehen, in denen auf diese Frage verwiesen wurde, dass OpenID verloren hat und Facebook gewonnen hat.

Es ist traurig zu lesen, wie mir die OpenID (oder zumindest die Idee dahinter) gefällt. Ich hasse es buchstäblich, noch ein Login / Passwort für eine Seite zu bekommen (ich werde es sowieso vergessen) - es ist ein ziemlich ernstes Problem für mich und ich kenne viele Leute mit dem gleichen Problem. Daher fand ich OpenId eine großartige Lösung, bin mir aber nicht mehr sicher.

Die Frage ist also, ob ich mich noch um die Implementierung von OpenID kümmern soll oder ob es sich nicht lohnt. Was ist die robusteste und bequemste Art, einen Benutzer zu identifizieren und zu authentifizieren (aus der Sicht des Benutzers)?

DoPPler
quelle
7
OpenID hat seine Fehler, aber da ich noch nichts Besseres gehört habe, würde ich nicht sagen, dass es verloren gegangen ist. Facebook ist keine Alternative für OpenID, da es zentralisiert ist und viele Leute einfach keinen Facebook-Account haben möchten. Lohnt sich die Mühe? Meiner subjektiven Meinung nach ist es das.

Antworten:

13

Diese Diskussion ergibt sich immer aus einer weitgehend ignorierten Tatsache: OpenID wurde nie als Anmeldeprotokoll entworfen. Das ist eine spätere falsche Zuordnung.

OpenID wurde als Homepage - URL Überprüfung konzipiert Service . Und dafür war es praktikabel. Aufgrund fehlender Alternativen wurde es jedoch schnell wieder als allgemeines Anmeldeprotokoll verwendet. Einige Funktionen wurden angepasst (einfache Ausrichtung, Attributtausch), um dies besser zu ermöglichen. Im Kern handelt es sich bei OpenID jedoch um ein Schema zur Überprüfung der URL-Berechtigung.

Dies ist, woher die Usability- und Implementierungsfehler stammen. Der Multi-Login-Vorteil ist nur für technisch versierte Benutzer von Bedeutung, keine wirkliche Vereinfachung für normale Benutzer. (Lassen Sie mich nicht mit Robustheit anfangen,
sondern retten Sie einfach meinen Stackoverflow-Login.) Es gibt jedoch keine weitverbreitete oder technisch überlegene Alternative (es gab einige frühere OpenID-Versionen, denen jedoch das Schlagwort und die Marketing- Akzeptanz fehlten). Als begeisterter Open-Source-Unterstützer würde ich sogar Microsoft Passport oder Cardspace in Betracht ziehen, was auch immer daran liegt, aber es ist derzeit keine Option.

Zurück zu Ihrer Frage: Halten Sie sich an OpenID. Für gewöhnliche Benutzer sind Benutzernamen / Passwort-Paare in der alten Schule möglich, und OpenID ist optional. Möglicherweise findet OpenID3 breite Akzeptanz und behebt einige der Probleme. Oder vielleicht kommt noch etwas hinzu. Die allgemeine Idee hinter dem Konzept war cool.

Mario
quelle
Das ist eine interessante Tatsache, das wusste ich nicht. Vielen Dank für Ihre Antwort. Wie ich bereits erwähnt habe, befürchte ich, dass die Implementierung von 'everything' (gemäß meinem Kommentar zu @DeveloperArt) die Benutzer abschrecken und / oder verwirren wird beste Lösung?
DoPPler
11

Können Sie nicht beide implementieren?

Jeder wählt die Option basierend auf seiner Präferenz und seinem Paranoia-Status.

OpenID bieten großen Komfort. Es bietet auch ein noch größeres Sicherheitsrisiko.

[Benutzerrisiko] Was ist, wenn Facebook / Google / etc. Entscheiden Sie, dass Ihr Konto kompromittiert wurde und Sie Ihre Telefonnummer oder eine Passkopie angeben müssen, um es wieder zu aktivieren? Würdest du es versuchen?

[Unternehmensrisiko] Was passiert, wenn Facebook / Google / etc. Entscheiden Sie sich, den Dienst zu beenden oder eine Gebühr dafür zu erheben? Dann bist du als Site-Inhaber massiv durchgeknallt.

[Datenspionage] Warum sollten sie die detaillierten Statistiken von vielen Verbraucherseiten sammeln und ihnen dabei helfen, persönliche Profile von Menschen zu erstellen? Wer weiß, was sie damit machen werden? Verkaufen Sie es, verwenden Sie es, um Ihre Marketing-Taktik anzupassen, und senden Sie es an die CIA?

Mann, es ist so einfach und unkompliziert - vermeiden Sie es, von irgendjemandem abhängig zu werden, und entscheiden Sie selbst, was wann und ob mit Ihnen geschehen wird.


quelle
Ich könnte beides umsetzen, das stimmt. Ich könnte Unterstützung für jeden OpenID-Anbieter über die URL hinzufügen, dann die 3-4 beliebtesten auflisten, dann OAuth-Unterstützung für Facebook und Twitter hinzufügen und dann mein eigenes altes (gutes?) Anmelde- / Passwort- / E-Mail-Registrierungs- / Anmeldeformular für Benutzer hinzufügen, die dies tun Ich möchte meine Benutzer nicht erschrecken - ich möchte nur, dass sie sich schnell anmelden können. Was die erwähnten Sicherheitsrisiken betrifft - sind diese wirklich so massiv ?
DoPPler
Die Wahrscheinlichkeit ihres Auftretens ist nicht massiv, aber wenn sie eintreten, werden ihre Konsequenzen massiv sein.
4
Wie auch immer, denken Sie daran, dass viele Leute kein Facebook-Konto haben und es nicht erstellen. Es ist nicht ratsam, ihnen den Zugang zu verweigern.
Viele gute Punkte hier @Developer Art, nicht von einem einzigen Anbieter abhängig zu sein, sowohl für Unternehmen als auch für Einzelpersonen. Disqus- und Wordpress-Kommentarsysteme haben erkannt, dass sie Administratoren (und Benutzern) die Wahl zwischen OpenID, Yahoo, Google, Facebook, Twitter und vielleicht mehr geben. Bieten Sie die Möglichkeit, IDs zuzuordnen, benötigen Sie diese jedoch nicht. 2. guter Punkt: Vermeiden Sie, dass eine Entität Ihre Informationen aggregiert! So wahr. Es kann trotzdem passieren. Warum es einfacher machen, wenn jedes Mal derselbe Anbieter verwendet wird? Außerdem: All-Facebook, NUR Facebook-Welt ist NICHT die Lösung! Ich wünschte, ich könnte dir mehr Gegenstimmen geben.
Ellie Kesselman
Ihre Argumente gegen OpenID sind eigentlich Argumente für OpenID! Jeder kann seine eigene OpenID-Berechtigung starten. Ich muss kein Google- oder Facebook-Konto erstellen, um mich bei einer Website anzumelden, die OpenID verwendet. Jetzt, da Google OpenID als Werbemaßnahme für seinen Google+ Service aktiviert hat, werden es wahrscheinlich auch andere tun und wir haben den Kampf um einen wirklich offenen Standard für die Anmeldung bei Websites verloren.
Brad,
5

Eigentlich denke ich, dass das Hauptproblem bei OpenID nicht die Implementierung ist oder die Benutzerfreundlichkeit davon schlecht ist. Ich denke auch nicht, dass es die Sicherheitsprobleme mit OpenID per se sind. Ich denke, das Hauptproblem ist, dass es eine Lösung auf der Suche nach einem Problem ist - ein Problem, das für die meisten Benutzer ohnehin keine große Sache ist.

Eine bessere Lösung für das Problem, sich viele Passwörter usw. merken zu müssen, ist die Verwendung einer Passwort-Manager-Anwendung. Ein Passwort-Manager vereinfacht sogar den Registrierungsprozess für Sie, da er automatisch alle gängigen Felder (Name usw.) ausfüllt und automatisch ein zufälliges Passwort generiert. Normalerweise müssen Sie nur Ihre E-Mail-Adresse bestätigen.

Dean Harding
quelle
Dies kommt der allgemeinen Meinung bei Quora sehr nahe, aber ich habe oft von meinen technischen und nicht so technischen Freunden gehört, dass sie ein Problem damit haben, mehrere Passwörter zu verfolgen, also glaube ich nicht Dies ist ein Problem, das "nicht existiert" (es könnte jedoch weniger störend sein, als ich es sehe). Die Verwendung eines Passwort-Managers ist sicherlich eine Lösung (nicht ohne eigene Mängel), aber ich suche nach einer Technologie, die ich implementieren kann, um meinen Besuchern ein besseres Singerlebnis zu ermöglichen.
DoPPler
1

Das Problem mit openid oder allgemeiner mit einer Auswahl von Kontoprovidern auf der Website, mit denen Sie sich auf Ihrer Website anmelden können, besteht darin, dass Benutzer häufig vergessen, welchen Anbieter sie zuvor ausgewählt haben. Eines Tages können sie Google verwenden, nächsten Monat Facebook und drei Monate später vielleicht Twitter. Für die Website werden drei verschiedene Benutzer angezeigt. In einem solchen Fall sind die Benutzer frustriert, weil sie sich bei Ihrem System anmelden können, jedoch nicht bei demselben Konto wie zuvor.

Marcin
quelle
1
Bist du dir da sicher? Ich habe mich das Gleiche gefragt, als ich zum ersten Mal von OpenID hörte. Ich habe versucht, mich selbst zu testen, um zu sehen, ob das, was Sie beschrieben haben, wahr ist. Manchmal ist es, wie bei StackExchange, bei der Implementierung von OpenID. Auf anderen Websites wird die Zuordnung zu früheren Anmeldungen jedoch korrekt vorgenommen, oder es wird nachgefragt, ob ich zuvor einen Account hatte, und der frühere OpenID-Anbieter wird allgemein angegeben. Vielleicht liegt das an einer kombinierten OpenID-OAuth-Anmeldung? Ich weiß es nicht. Aber ich stimme Ihnen zu, Benutzer vergessen, welchen Anbieter sie zuvor gewählt haben! Das ist ein echtes Problem.
Ellie Kesselman
0

Die Hauptprobleme mit OpenID sind, wie ich sehe, zwei:

  • A) Es ist nicht benutzerfreundlich für nicht technische Leute
  • B) Es ist nicht so weit verbreitet wie die Alternativen

Auf A ist es für einen Benutzer, der eine Schaltfläche "Mit Facebook anmelden" sieht, einfach und unkompliziert zu bekommen. Es ist verwirrend, ein Steuerelement mit 10 Symbolen (Google, Yahoo, AOL usw.) zu sehen. Noch mehr die Tatsache, dass das "Login" eine URL ist, was viele Leute nicht wissen, dass es existiert, da sie nur eine Suche in Bing / Google eingeben und den Links folgen. Ich kenne viele Leute, die auf Facebook nach Facebook suchen und auf den Link klicken. Versuchen Sie nicht, ihnen das Domain-Konzept zu erklären!

Auf B ist Facebook der Standard. Es ist ein bisschen wie bei PayPal und den Alternativen: Für einen E-Commerce ist PayPal aufgrund der Gebühren für Transaktionen möglicherweise nicht die beste Option, aber wenn sie PayPal nicht verwenden, riskieren sie viele potenzielle Kunden. Über Login ist das gleiche: Facebook öffnet Ihr Web für 500 Millionen Benutzer, die aktive Internetnutzer sind und technisch versiert genug, um Ihre Website wahrscheinlich "zu bekommen". Ehrlich gesagt, warum sollten Sie mehr Zeit damit verbringen, andere Dinge zu unterstützen? Verbringen Sie diese Zeit damit, das Produkt zu entwickeln!

Aufgrund von B wird A schlechter, da die Benutzer den Facebook-Login erwarten , und Open Id verwirrt sie mehr.

Und ich beginne nicht mit den Problemen, die bereits in Code Horror besprochen wurden, wenn sich Benutzer auf derselben Site mit unterschiedlichen Open-ID-Konten anmelden, und mit den Problemen, die hierdurch auftreten können ...

Alles in allem gefällt mir die Idee zu Open ID, aber (leider?) Facebook hat es besser gemacht.

Pere Villega
quelle
4
Ich habe viele Implementierungen gesehen, die in der Tat schlecht sind. Aber die Implementierung hier auf Stack Exchange ist meiner Meinung nach ziemlich gut. Sie könnten wahrscheinlich noch einen Schritt weiter gehen und das Erlebnis dem "Anmelden mit Facebook" -Erlebnis sehr ähnlich machen (auch Google und Yahoo unterstützen eine Art OAuth- oder OpenID / OAuth-Hybrid). Ich stimme voll und ganz der Tatsache zu, dass das Sehen mehrerer Anbieter irreführend sein und einige zusätzliche Probleme verursachen kann, aber auf der anderen Seite Ihrem Benutzer die größte Flexibilität bietet (auch ich kenne Leute, die Facebook nicht nutzen).
DoPPler
Die Tatsache, dass ich mich jedes Mal einloggen muss, wenn ich zu einer anderen SE-Niederlassung gehe, lässt mich glauben, dass die Implementierung schlecht ist. FFS, wenn ich meine OpenID verwendet habe, um mich bei SO und Prog zu registrieren, warum muss ich mich dann bei demselben Besuch bei beiden anmelden? Das ist Fortschritt?!?
Drew