Open ID normal LogIn sisteminden daha iyi midir? [kapalı]

Bir web sistemi geliştiriyoruz ve Open Id özelliğini kullanmayı düşünüyoruz. Giriş yapan kullanıcıların normal yolundan daha iyi olduğunu düşünüyor musunuz? Açık Kimlik özelliğini kullanırsak, kullanıcılar daha fazla işlem yapacak olan Açık Kimlik sağlayıcılarını seçtikleri siteye yönlendirilecek demektir. O zaman oraya giriş yapıp sitemize yeniden yönlendirilmek zorundalar. Kullanıcılar bu konuda rahat eder miydi?

Not: Bir sosyal ağ sitesi daha var ama hantal bir şey değil.

OpenID'yi seviyorum ve kesinlikle "geleneksel" site başına kimlik bilgileri metaforundan daha iyi. Yönetmek için daha fazla kimlik bilgisi istemiyorum ve güvenli bir şekilde sağladığım kimlik bilgilerini depolamak için J. Rastgele sitesine güvenmek istemiyorum. Daha yaygın hale geldikçe kullanıcıların daha rahat edeceğini düşünüyorum. Umarım daha yaygın hale gelir.

Lütfen hatalı olup olmadığımızı belirtin.

Olumsuz Görüşler

• Genel kullanıcılar için tercih edilen yöntem olmayabilir.
• Daha az teknik bilgiye sahip olan kullanıcılar iki kez düşünür veya kafasını karıştırır.
• Onlar buna alışkın DEĞİLDİR.
• Belirli bir sağlayıcıdan kendilerine sinir bozucu olabilecek açık bir kimliği elde etmeleri gerekiyor.
• Bundan nefret edebilirler çünkü başka bir siteye yönlendirilecekler.
• Yanlış anlayabilirler!

Olumlu görüşler

• Güvenilirdir, çünkü kimlik bilgilerini sormuyoruz.
• Giriş yaptıktan sonra daha hızlı.
• Msgstr "Kimlik bilgileri tükenmişliğinin üstesinden gelir". Bir siteyi kaç kişinin atladığını izlemek çok zor çünkü bir başka kullanıcı adı / şifre korumayı reddediyorlar. - Kara Mafya

Unutma, bunun bir / veya seçenek olması gerekmiyor. Geleneksel giriş yöntemlerine ek olarak OpenID desteği de ekleyebilir (ve eklemelisiniz). Bu, 'genel' kullanıcıları korkutmayacak - sadece mevcut yöntemi kullanıyorlar ve OpenID kullananlar için hayatı daha keyifli hale getiriyor.

OpenID, bir dizi avantaj sağlar; bunlar arasında kimlik doğrulama ile tembelleşmenize olanak sağlayan şef. Yetkilendirme hala sizin sorununuz, ancak en azından kimlik bilgilerinin güvenli bir şekilde depolanması konusunda endişe duymanıza gerek yok. Bu bence iyi bir şey. Serverfault gibi 'net ihtiyaç daha fazla' bağlı taraflara 'ihtiyaç duyar.

Bir OpenID ile giriş yaparsanız, sağlayıcınıza yalnızca bir kez giriş yapmanız gerekir - ikinci kez, kullanıcı sağlayıcı sayfasını görmez.

Ayrıca, belki RPXnow ilginç olacak.

Şahsen, OpenID'i sevmek için çizgiyi aştım. Genel paranoyadan ona karşı dirençliydim. Şimdi her şey yolunda gitmemek için $$'de çok fazla acı var. Teknoloji dışı kullanıcıların ilk başta mücadele edebileceğini kabul ediyorum, ancak bunun ne kadar yaygın olursa, insanların alacağı daha rahat hale geldiğini düşünüyorum. Bazı siteler hem geleneksel (yerel) bir kimlik doğrulama sistemi hem de OpenID kullanma seçeneği sunar. Burada eğitimin çok yardımcı olacağını düşünüyorum, bu yüzden OpenID'nin ne olduğunu ve faydalarını açık bir şekilde açıklarsanız, kabul için uzun bir yol kat edersiniz.

Tekli Oturum Açma (SSO) teknolojisi olarak, herhangi bir SSO'nun genel risklerine açıktır. Bu açıdan bakıldığında, bankamı veya tıbbi sitelerimi buna entegre etmeye henüz hazır değilim :) Ne de olsa onlar tarafından teklif edilmiyor ...

Bunu OpenID ile sık sık suçlamaya zorlayan OAuth'u isteyeceğimi söyleyeceğim .

Diğerleri OpenID hakkında yeterince ayrıntılı bilgi verdi, OAuth, başka bir sitenin yalnızca OpenID sağlayıcınızla kim olduğunuzu bilmediğini, aynı zamanda söz konusu sitenin sizin hakkınızda hangi bilgileri bilmesine izin verdiğini de söyleyebileceğini belirtti.

• kullanıcı detayları için e-postaya ihtiyaç var
• Kullanıcı detayları için ad / soyad gerekiyor
• ülkeye ihtiyacı var

hepsi iyi olabilir. Peki ya bunlar:

• sosyal Güvenlik numarası
• Kredi Kartı Numarası
• telefon numarası
• posta adresi

Bu yüzden OpenID + OAuth mükemmel bir kombinasyondur; hem kullanıcı adınızı hem de parolanızı saklamak için yalnızca tek bir yeriniz değil, aynı zamanda kendinizle ilgili ayrıntıları sakladığınız ve hangi sitenin hakkınızdaki ayrıntılara erişimi olduğu hakkındaki genel bakışınızı kaybetmeyin.

OpenID'nin olay yerinde çok fazla kullanıcı kazanması üzerine bir senaryo düşünebilirim. Büyük bir sitenin kötü niyetli bilgisayar korsanlarına [*] milyonlarca kullanıcı şifresini kaybettiğini ve listenin sızdığını varsayalım. Çoğu kullanıcı yalnızca belirli bir hesap nedeniyle değil aynı zamanda birden fazla site için aynı giriş / şifreyi kullandıkları için panik içinde olacaktır. Ve onlar yapar. Biliyorum. Ve bu hesapların hiçbirini izlemiyorum, bu yüzden sonuç şifrelerimi asla değiştiremem .

Şimdi bir kötünün hesaplarımı çalabileceğini bildiğimde ne yapacağım? Şifreleri değiştirme konusundaki bu ezici görevi atlatmaya çalışacağım. Veya OpenID konseptine rastlayacağım ve bu vesileyle tüm bu hesapları dönüştürmeye çalışacağım. Bu, birden fazla site için hala etkin bir şekilde tek bir giriş / şifreniz olduğu anlamına gelir, ancak şimdi en azından hepsinde şifreyi kolayca değiştirebilirim . Kötü niyetli bilgisayar korsanlarının OpenID'imi çalması durumunda parola sıfırlama isteğinde bulunmak veya en azından hesabı devre dışı bırakmak için tek bir sorunum var.

[*] - okuyun: script kiddies

Çeşitli web sitelerini ne kadar çok ziyaret edersem o kadar çok oturum açma özelliği istiyorum.

Her web sitesi kendilerinin en önemlisi olduğunu düşünüyor. Her web sitesi, bir şey yapmadan önce bir hesap oluşturmanız konusunda ısrar ediyor. StackOverflow, Serverfault, Wikipedia, WowWiki, Wowhead, MS Forumları, CodeProject, CodePlex, vb ...

Hepsi benim talep ettiğim benzersiz bir kullanıcı adı, bir şifre ve e-posta adresimin üzerinden çatal seçmemi istiyor. Sonra onlar bana yoktur vb, düzenleme, indir, tık, yorum, oran, göndermeden izin vermeden önce benim e-posta kontrol etmeliyim ısrar yok beni sitenizi i içine dolaşmaya anlık kullanmasına izin için sebep.

Sadece hepsinin sesini kesmelerini istiyorum. her yerde kullanabileceğim tek bir giriş istiyorum, kara delikli bir e-posta adresiyle çöplerini okumak zorunda kalmam.

OpenID, öyle görünüyor. Ancak Google bunu destekledikten sonra mümkün oldu. Ondan önce, StackOverflow'un kendi tescilli giriş sistemi idi - kendilerini barındırmak için fazla tembellerdi. Artık Google OpenID'yi destekliyor, aslında herkesin zaten sahip olacağı düşünülebilir.

Bu günlerde, web sitelerinde hesaplar oluşturmaktan kaçınıyorum ve önce bir hesap oluşturmam gerektiğini düşünen operatörleri lanetliyorum.

Beni nefret yapmayın sizin de siteyi.

Her iki tarafta da openId kullanmanın faydaları vardır: 1. Geliştiricilerin giriş sistemini (veritabanı, müşteri işleme, uygulama güvenliği vb.) Uygulaması gerekmez. 2. Kullanıcıların ilave bir kimlik bilgisi setini hatırlamaları gerekmez.

Diğer yandan, gerçekten bilgisayar konusunda bilgili olmayan ve sitenize giriş yapmak için google kimlik bilgilerini söyleme konusunda isteksiz olacak bazı kullanıcıları korkutabilirsiniz.

En iyi çözüm, hem OpenID hem de yerinde tescili mümkün kılan bir hibrid sistemi olacaktır ancak bu, bahsettiğim ilk avantajı gerçekten mahveder.

OpenID'nin kullanıcılarınıza verdiği diğer şey, daha güçlü kimlik bilgilerini kullanma yeteneğidir. Buradaki yanıtlarda kimlik avı konusunda bazı endişelerim var, ancak phishable / replayable kimlik bilgileri hiç kullanmayan bir OpenID sağlayıcı seçebilirsiniz. Örneğin, SSL sertifikaları veya Bilgi Kartları bazı sağlayıcılarda desteklenir. myOpenID, oturum açmadan önce bir telefona cevap vermenizi gerektiren bir şey içerir. Donanım belirteçleri kullanan başka siteler de olduğundan eminim.

Evet, kullanıcılarınızın çoğu muhtemelen sadece Yahoo düğmesini tıklayacak ve onu kullanmayacaktır. Ancak bu onlara seçenek sunar ve uygulama detayları için endişelenmenize gerek yoktur. Sitenize OpenID desteği eklemenin, SSL sertifikalarını tarayıcılar arası bir şekilde desteklemekten daha kolay olduğunu iddia ediyorum. Ve kesinlikle tüm SSL sertifikalarını, Bilgi Kartlarını, telefon doğrulama, belirteç doğrulama, DDRpass, rastgele nokta stereogram kimlik doğrulaması veya bir sonraki ne düşündüklerini tuhaf şeyler desteklemekten daha kolaydır.

Ben kimsenin fikrini değiştirmeye çalışmıyorum. Lütfen, bu gerçekleri göz önünde bulundurun. OpenID, kullanıcı + şifre doğrulama sisteminden sadece iki şey farklıdır:

• kimlik doğrulamanızın gerçekleştiği yer. Daha önce ad + şifre kullandıysanız, OpenID şifrenin kontrol edildiği yeri değiştirir. Daha önce sertifika kullandıysanız, OpenID sertifikanın işaretlendiği yeri değiştirir.
• OpenID URL’si tüm WWW’ye özgüdür (alternatif kök DNS'leri dikkate almaz)

İşaret etmeye çalıştığım, başka hiçbir şeyin değişmediği:

• OpenID, kayıt prosedürünün yerine geçmez (sREG uzantısı ile kayıt işlemini basitleştirebilir)
• daha az güvenli değil. Daha önce kısa şifreler kullanılmışsa, bunları tekrar kullanacaktır.
• Eğer anlamına gelmez olamaz paranoyak insanlar için orada her web sitesi için farklı kimlikleri yüzlerce var.
• " OMG geek teknolojisi, kaçma !! " anlamına gelmez . Hayır, ortak OpenID sağlayıcıları için yapılan StackOverflow siteleri grubu gibi hoş ve parlak düğmeler yapabilirsiniz. Bu çok daha kullanıcı dostu.
• yönlendirmeleri ima etmez. Kimlik doğrulaması iframe veya ayrı bir tarayıcı penceresinde yapabilirsiniz.

Başka bir teknolojide olduğu gibi. İnsanların konuştuğu şeylerin çoğu efsanedir çünkü incelemek için zaman ayırmamışlar ya da yanlış uygulama kullanmışlardır.

OpenID daha karmaşıktır ve sizi diğer hizmet sağlayıcılara bağımlı olmama bağımlı hale getirir.

StackOverflow'un karşılaştığı sorunlardan biri, kullandığınızdan farklı bir OpenId ile oturum açarsanız, puanlarınızı ve rozetlerinizi kaybedersiniz (belki de şimdiye kadar düzelttiler, duymamış olabilirsiniz). Bir saatliğine, bir saat boyunca giriş yapamadım, çünkü sağlayıcım düştü.

OpenID'den nefret ediyorum ve serverfault / stackoverflow'a kaydolmamanın ana sebebi Kullanıcı gizliliği ne olacak? Benim gibi bazı kullanıcılar son derece paranoyak ve facebook / yahoo / google bilgilerini çeşitli web siteleri arasında karıştırmak istemiyor

OpenID, kavramsal olarak güzel bir IMO ile karşı karşıya kalırken, çünkü a) geliştiricilerin uygulaması zor ve b) kullanıcıların bir url kullanma kavramına alışması zor. Kullanıcı adı / şifre kullanım şekli bu noktada oldukça sıkı bir şekilde gömülüdür.

Bununla birlikte, Clickpass’a bir göz atın ( www.clickpass.com ). Aktif olarak OpenID'in kullanımını kolaylaştırmaya çalışıyorlar.

İyi şanslar.

Henüz değil.

Tarayıcı desteğine ihtiyacı var. Tarayıcılar, kimliklerini merkezileştirilmiş bir şekilde yönetebildiklerinden ve işleri çok basitleştirebildiklerinden OpenID ile mükemmel bir kullanıcı deneyimi yaşayacaklar (ziyaret ettiğiniz web sitesi OpenID kullanıyor gibi görünüyor, http://yahoo.com kullanmak istiyor musunuz?) / user oturum açmak için?) ve güvenli.

Ancak şu anda, OpenID'yi kullanılabilir hale getirmek için önemli bir çaba göstermeniz gerekiyor. Gördüğüm gibi, ya bir seçenek olarak OpenID'yi sağlamanız ya da kendi OpenID sağlayıcınızı kullanıcılarınıza sağlamanız gerekiyor (üçüncü bir tarafın hizmetini kullanmalarını sağlama).

Müşterileri düşünün. Hedef müşteriniz inek mi? Evet ise, OpenID müşterinizi etkileyecek ve sitenize yardımcı olacaktır. Olmazsa, onu inek dostu olmayan hale getirme konusundaki ekstra çalışma, müşterilerin umursadığı içeriği sağlamaktan kaynakları tahliye etmektir. Önce müşterinize değer sağlamaya odaklanın.

OpenID ile ilgili sorun, birinin kimliğine olan güven seviyesinin gerçekten dikkate alınmadığı ServerFault gibi şeyler için harika - umursamaya başladığınızda, hayatın karmaşıklaştığı yer.

Bu karmaşıklaşıyor, çünkü kimlik doğrulama sağlayıcımı kontrol ettiğimde o sağlayıcıya güvendiğim için tam anlamıyla güveniyorum çünkü çalıştırıyorum ve büyük olasılıkla istediğim standarda uyguladım. Kimlik doğrulamayı kontrolüm dışına taşıdığımda, artık kimlik doğrulama sağlayıcısına da bir güven düzeyi atamam gerekiyor.

İşverenimde yasa gereği, herhangi bir büyük OpenID sağlayıcısına güvenemem çünkü:

• Periyodik şifre değişikliklerini zorlamazlar
• Parola uzunluğu / karmaşıklığını zorlamazlar
• Sistem yönetimi uygulamalarını denetleyemiyorum

Bu hiçbir şekilde kapsamlı bir liste değil.

OpenID'i önemsiz uygulamalar için çalıştırmak için güvenilir bir sağlayıcıya ihtiyacım var - ve kullanıcılarımı bu güvenilir sağlayıcı (veya sağlayıcılar) ile sınırlandırmalıyım. Bu tür "tek kullanıcı adı / şifre" avantajını yendi. O zaman bile, daha yüksek güven seviyelerindeki kullanıcılar için bazı kimlik doğrulama işlemleri yapmam gerekebilir. Bana göre bir sürü iş gibi görünüyor, özellikle de kendi kimlik doğrulama sağlayıcınızı yönetirken roket bilimi yok.

IMO, hükümetlerin bu teknolojiyi çalıştırma potansiyeline sahip. Bir eyalet / il DMV'si veya postane vatandaşların OpenID yoluyla erişilebilecek çevrimiçi kimlik bilgileri oluşturduğu bir hizmet sunmuşsa, Postane / DMV kimlik bilgilerine güvenebilirsiniz. (Çünkü hükümet: “Bize güveneceksiniz” diyor) Norveç ve Danimarka gibi ülkelerin zaten PKI kimlik belgesi verdiğine inanıyorum.

Bir sosyal ağ sitesi için OpenID, teknolojiyi meraklısı çekmeye yardımcı olacaktır. Ancak, tek seçeneğiniz buysa, herkesi korkutacak. Kullanıcılar her siteye yeni girişler ve şifrelerle kaydolmaya alışkındır. OpenID yeni ve yabancıdır ve kullanıcıların neden üçüncü şahıslara kimlik bilgilerini verdiklerini merak ettirebilir. Tipik bir kullanıcı için OpenID, GiveMeYourInformationSoICanSpamYou diyebilir, sitenizin bütünlüğünden şüphe etmeleri için sadece bir neden daha.

Kısacası - kullanıcı tabanınızı belirleyin ve OpenID'i çizin veya hem OpenID hem de uygulama tarafından yönetilen bir oturum açma sistemi kullanın.

İnsanların neden OpenID'nin daha güvenli olduğunu düşündüğünü merak ediyorum. Teknoloji meraklısı kullanıcılar için bu geçerli olabilir, ancak ortak bir kullanıcı gerçek bir açık oturum açma oturumu ile şifreyi kazıyacak olan sahte bir sahtekar arasındaki farkı görmez.
Daha da kötüsü, bu parola ile ilişkilendirmek için hangi OpenID hesabının olduğunu bilecekler ve muhtemelen basit bir kullanıcı adı / e-posta / şifre kombinasyonundan çok daha fazla hasar görebilecekler.

openID teknik kullanıcılar için teknik bir çözümdür ve sıradan kullanıcılar için pek yardımcı olmaz. Bu yüzden teknik siteler için canlanabilir, ancak sıradan siteler için yakın zamanda bunu görmüyorum.

Evet, OpenID’i, kullanıcının sebepleri doğrultusunda , normal oturum açma çözümünden daha iyi olduğunu söyleyebilirim.

• Siteniz için başka bir kullanıcı adı ve şifreyi hatırlamak zorunda değilim.
• İsterseniz birden fazla site için bir oturum açma kimliği kullanabilirim.
• Her zaman aynı kullanıcı adını alırım - giriş kimlikleri sonunda numara ekleme ve rastgele saçmalama yok
• Zaman geçtikçe kullanıcılar tarafından daha popüler ve daha iyi anlaşılacak
• Kullanıcılara nasıl çalıştığını ve onlara yararlarını açıklamak oldukça basittir.
• Çoğu kullanıcı Yahoo veya Google’dan OpenID sağlayıcı olarak kullanabilecekleri ücretsiz bir e-posta hesabına sahip olacak -> muhtemelen bunun mümkün olduğunu bile bilmiyorlar.
• Kullanıcılar, OpenID sağlayıcısına farklı bir e-posta adresi verebilir (ücretsiz yahoo / gmail / ne olursa olsun), onaylamak için bir bağlantıyı tıklatabileceklerini, "şifremi unuttum" e-postalarını göndermek için yedek olarak veya diğer bildirimler veya pazarlama konusunda bilgi sahibi olmak.

Unutmayın ki, OpenID seçeneğiniz olduğu için, OpenID kullanmak istemediklerinde veya kullanmamaları durumunda kullanıcılara geleneksel bir kullanıcı adı + parola birleştirme seçeneği de sunamayacağınız anlamına gelmez. bir sağlayıcı. Kullanıcıların bilmeleri durumunda istediklerini seçmelerine izin vermede yanlış bir şey yok , aksi takdirde OpenID , imo :)

Açık Kimlik, ya sevdiğiniz ya da bu fikirden nefret ettiğiniz şeylerden biridir - bence “kimlik” in merkezileşmesini coşkuyla mı yoksa şüpheyle mi gördüğünüz fikrine bağlı.

Başka bir deyişle, bir openid sitesindeki bir hesabı bulduğunuzda, “oh sh! T, şimdi potansiyel olarak o openid için kullandığım her sitede potansiyel olarak tehlikeye giriyorum” veya “oh iyi, şimdi sadece tüm bu siteler için şifremi tek bir yerde değiştirmem gerekiyor. "

Bu alanda çalışarak birçok giriş kimlik bilgisi bilgisi veriyoruz. OpenID, başka bir hesap ve şifre oluşturmak zorunda kalmadan kendimi doğrulamak için daha önce kurulmuş bir hesabı kullanmamı sağlıyor. OpenID'yi desteklemeye başlayan birçok site ile, kimliğinizi doğrulamak için kullandığınız OpenID kimlik doğrulayıcısının kullandığı çok daha fazla seçenek vardır.

Mevcut olanlardan birini kullanmak istemiyorsanız kendi OpenID kimlik doğrulayıcınızı kendi sitenize de kurabilirsiniz. Bu şekilde, kimliğinizi doğruladığınızda tam olarak hangi bilgilerin verildiği üzerinde daha fazla kontrol sağlayabilirsiniz.

Bir hesap oluşturma veya kimlik doğrulaması için OpenID kullanma seçeneğine sahip olmanın hem güvenlik paranoyakını hem de kullanım kolaylığı isteyenleri kapsayan harika bir kombinasyon olduğunu düşünüyorum.

Bence OpenID harika ve sitemiz için düşünüyoruz. Ancak, oAuth'a ihtiyacımız var ve kullanıcılardan gelen e-postayı da istiyorduk. Bunu yaygın olarak kullanıyoruz ve yaptığımız bir şey de bir bültene e-posta ile göndermek. Bundan vazgeçmemize izin veriyoruz, ancak sistemimizin çalışması için bunu isterdik.

Bir kullanıcı / pwd'den vazgeçmekten nefret eden sert bir teknoloji grubu varmış gibi görünüyor, ve bunu anlayabiliyorum. Bazıları gizlilik savunucuları ve ben tamamen anlıyorum. Bazıları sadece tembel, bir kullanıcı / pwd kurmak istemiyorum, bazıları sadece alıcılar. İnternetten bilgi almak istiyorlar, ancak hiçbir zaman, hiçbir şekilde (reklam, maliyet, vb.) Hiçbir zaman bunun için ödeme yapmıyorlar. Bence çoğu insan geri ödeme yapması veya bir şekilde ödeme yapması gerektiğini anladığı için, bu insanların azınlığı. .

Sitenizi, hangi ayrıntılara / bilgilere ihtiyacınız olduğunu incelemeniz ve ardından gereksinimlerinizi karşılayıp karşılamadığı konusunda karar vermeniz gerekir. Varsa, geçerli giriş yöntemine ek olarak ekleyebilirsiniz. İnsanlarla iletişim kurmanız, bir şeyleri bildirmeniz vb.

Kendinizi doğrulamak için merkezi bir yol kullanmak harika, ancak belirtildiği gibi, parola değişikliği / karmaşıklığı eksikliği ile ilgili sorunlar var. Ancak bu, bir site sayısından daha fazla bir kullanıcı sorunudur. Asla çözemeyeceğimiz kullanıcı düzeyinde bir uzlaşma gerçekleşir. Ancak, site sahibi olarak, ortaya çıkarsa sizin sorumlu olmadığınız anlamına gelir.

OpenID ile gördüğüm tek sorun şudur:

İki bağlı siteyi hayal edin. İkisi de OpenID girişine izin veriyor. Elbette o zaman etkinlik istatistiklerini birbirleriyle paylaşabilirler - ilk sitedeki X eylemini ve Y eylemini yaptığımı ve ikinci siteyi ziyaret ettiğimde, ilk sitedeki faaliyetlerime göre, hedefli reklamlarla bombardıman edildiğimi söylüyorlar. Bazı nedenlerden dolayı OpenID girişleri arasındaki tecrit eksikliği bana biraz hoş görünmüyor.

Fakat mesele şu ki, OpenID'nin (bir tane, umarım güvende, birtakım kimlikler seti) nihai rahatlığı, yukarıda bahsedilen olumsuzluktan etkilenmez. Kullanabildiğim her yerde OpenID kullanıyorum ve kamu kullanımı için bir web hizmeti geliştiriyordum, kesinlikle OpenID'yi (belki de geleneksel bir kayıt seçeneğiyle) desteklemesini sağladım.