¿Open ID es mejor que el sistema habitual de inicio de sesión? [cerrado]

23

Estamos desarrollando un sistema web y estamos considerando usar la función Open Id. ¿Crees que es mejor que la forma habitual de iniciar sesión en los usuarios? Si usamos la función Open Id, eso significa que los usuarios serán redirigidos al sitio de su elección de proveedores de Open Id que tomarían más medidas. Luego tienen que iniciar sesión allí y ser redirigidos a nuestro sitio. ¿Los usuarios se sentirían cómodos con esto?

Nota: Es más un sitio de redes sociales pero no algo voluminoso.

DragonBorn
fuente
3
Esto es completamente subjetivo.
Bill Weiss
Las respuestas aquí no son generalmente aplicables para crear aplicaciones empresariales, donde las empresas ya tienen su propio directorio. En esos casos, debería considerar la posibilidad de federar su propio Directorio utilizando WS-Trust o mediante el protocolo Open ID
goodguys_activate

Respuestas:

27

Me encanta OpenID, y es absolutamente mejor que la metáfora de credenciales "tradicionales" por sitio. No quiero administrar más credenciales, y no quiero confiar en el sitio J. Random para almacenar las credenciales que proporciono de forma segura. Creo que los usuarios se sentirán más cómodos con él a medida que se vuelva más común. Esperemos que se vuelva más común.

Evan Anderson
fuente
Entonces, por ahora no lo es?
DragonBorn
2
No es que? ¿Vulgar? No he visto muchos sitios que lo utilicen, pero espero que más lo hagan. Espero que se convierta en algo común y bien aceptado por los usuarios. En este momento, no tengo idea de si el usuario final promedio "trsuts" OpenID o no. Me da la sensación de que la gran mayoría no les importa en absoluto y hará clic a través de cualquier cosa para conseguir lo que están tratando de ver ...
Evan Anderson
3
Yo diría que el problema no es de confianza, sino que el usuario final "promedio" ha muy probablemente nunca oído hablar de OpenID ..
DBR
2
Creo que "la confianza" es la solución. Para "vender" OpenID a los usuarios, debemos decirles activamente: "Permitimos que Google / Yahoo / etc. se encargue de autenticarlo y no almacene su nombre de usuario / contraseña en nuestros servidores ..." Es una idea positiva: elimine y jerga técnica y simplemente relacionarlo como lo bueno que es.
Evan Anderson
1
@Jim B: Confío en que el fabricante de la aplicación J. Random haga un trabajo lo suficientemente bueno para almacenar mis datos (y si no lo hago, almacenaré copias de ellos). La autenticación es un problema más difícil, en mi opinión, y prefiero que los "grandes" hagan eso. Dicho esto, no sé si OpenID es apropiado para cada tipo de aplicación. Para iniciar sesión en sitios "casuales", como Server Fault, sitios de foros, etc., estoy de acuerdo. Si estoy haciendo negocios, sería más difícil vender en OpenID.
Evan Anderson
16

Señale si estamos equivocados.

Vistas negativas

  • Creemos que para los usuarios en general, NO podría ser la forma preferible.
  • Los usuarios que tienen menos conocimiento tecnológico pensarían dos veces o se confundirían.
  • NO están acostumbrados.
  • Tienen que hacer uso de una identificación abierta de un determinado proveedor que puede ser molesto para ellos.
  • Pueden odiarlo porque serán redirigidos a otro sitio.
  • ¡Pueden equivocarse!

Vistas positivas

  • Es confiable porque no estamos pidiendo sus credenciales.
  • Es más rápido una vez que inicias sesión.
  • "Supera el agotamiento de credenciales". Es muy difícil rastrear cuántas personas se saltan un sitio porque se niegan a mantener otro nombre de usuario / contraseña. - Kara Mafia
DragonBorn
fuente
19
A los profesionales agregaría "supera el agotamiento de credenciales". Es muy difícil rastrear cuántas personas se saltan un sitio porque se niegan a mantener otro nombre de usuario / contraseña. Sé que estoy ahí.
Kara Marfia
Muy cierto ... :)
DragonBorn
1
Creo que permitir OpenID. No me hagas saltar por los aros para usar tu sitio. Si insiste en que le dé un nombre de usuario / contraseña / correo electrónico, voy a seguir adelante. Dame OpenID y al menos lo miraré.
Ian Boyd
Desearía poder votar esto dos veces, algún día algo como openid podría ser útil, pero por ahora es solo otra PITA para los usuarios.
Jim B
Jim: creo que sí. :)
DragonBorn
10

No olvide que no tiene que ser una opción o una opción. Puede (y probablemente debería) agregar compatibilidad con OpenID además de los métodos de inicio de sesión tradicionales. Esto no asustará a los usuarios 'generales': solo usan el método existente, mientras hacen la vida mucho más agradable para aquellos que usan OpenID.

marca
fuente
7

OpenID ofrece una serie de ventajas, la principal de ellas le permite ser perezoso con la autenticación. La autorización sigue siendo su problema, pero al menos no tiene que preocuparse tanto por el almacenamiento seguro de las credenciales. Esto es algo bueno en mi opinión. La 'red necesita más' partes confiantes 'como serverfault.

sysadmin1138
fuente
5

Si inicia sesión con un OpenID, solo necesita iniciar sesión en su proveedor una vez ; la segunda vez, el usuario ni siquiera verá la página del proveedor.

Además, quizás RPXnow sea ​​interesante.

Gravedad
fuente
4

Personalmente, he cruzado la línea para amar OpenID. Solía ​​ser resistente a la paranoia general. Ahora es demasiado doloroso en un $$ para mantener todo en orden. Estoy de acuerdo en que los usuarios no tecnológicos pueden tener dificultades al principio, pero creo que cuanto más se extienda, más cómoda se sentirá la gente. Algunos sitios ofrecen un sistema de autenticación tradicional (local) y también la opción de usar OpenID. Creo que la educación va a ayudar mucho aquí, así que si explicas claramente qué es OpenID y sus beneficios, eso será de gran ayuda para la aceptación.

Como tecnología de inicio de sesión único (SSO) está abierta a los riesgos generales de cualquier SSO. Desde esa perspectiva, todavía no estoy listo para integrar mi banco o sitios médicos :) No es que lo ofrezcan de todos modos ...

squillman
fuente
4

Agregaré eso con OpenID, por lo general, quieres OAuth, que tiene una presión criminal baja.

Otros han elaborado lo suficiente sobre OpenID, OAuth agrega al conjunto que otro sitio no solo sabe quién es usted a través de su proveedor de OpenID, sino que también puede decir lo que el sitio en cuestión tiene permitido saber sobre usted.

  • necesita correo electrónico para detalles del usuario
  • necesita nombre / apellido para detalles del usuario
  • necesita país

puede estar todo bien ¿Qué tal esos:

  • Número de seguridad social
  • Número de tarjeta de crédito
  • número de teléfono
  • direccion postal

Entonces, OpenID + OAuth es una gran combinación, al usar ambos, no solo tiene un solo lugar para mantener un nombre de usuario y contraseña, sino también donde guarda detalles sobre usted y no pierde información general sobre qué sitio tiene acceso a qué detalles sobre usted.

servidorhorror
fuente
Amo a OAuth en teoría. En la práctica he encontrado muy poca granularidad. La mayoría de los consumidores de OAuth parecen estar pidiendo poder acceder (leer y escribir) a todos sus datos.
Evan
Los datos de los que está hablando (correo electrónico, nombre, país, dirección, etc.) se pueden transferir con una extensión OpenID como Simple Registration (sreg) o Attribute Exchange. La limitación es que solo se puede transferir en el momento de inicio de sesión a través del agente de usuario. Lo que agrega OAuth es la capacidad de la aplicación cliente y el servidor de tener una conexión directa a través de la cual el cliente puede hacer llamadas API sin la presencia del usuario, lo que puede ser más útil en algunos casos. (p. ej., desea la dirección de correo electrónico cuando envía el boletín informativo, no cuando el usuario inicia sesión)
keturn
3

Puedo pensar en un escenario en el que OpenID obtendrá muchos usuarios en el acto. Supongamos que un sitio importante pierde millones de contraseñas de usuario ante hackers malvados [*], y la lista se filtra. La mayoría de los usuarios entrarán en pánico, no solo por una cuenta específica, sino porque usan el mismo nombre de usuario / contraseña para múltiples sitios. Y ellos lo hacen. Sé lo que hago. Y no mantengo un seguimiento de estas cuentas, por lo que el resultado es que nunca puedo cambiar mis contraseñas .

Ahora, cuando sé que un villano puede robar mis cuentas, ¿qué haré? Intentaré superar esta abrumadora tarea de cambiar las contraseñas. O tropezaré con el concepto OpenID e intentaré convertir todas estas cuentas en la ocasión. Esto significaría que efectivamente todavía tengo un único inicio de sesión / contraseña para varios sitios, pero ahora al menos puedo cambiar fácilmente la contraseña en todos ellos . Y en caso de que los piratas informáticos malvados roben mi OpenID, tengo un solo problema para solicitar el restablecimiento de la contraseña o al menos para deshabilitar la cuenta.

[*] - lee: script kiddies

kubanczyk
fuente
3

Cuanto más visito varios sitios web, más quiero una función de inicio de sesión único.

Cada sitio web piensa que el suyo es el más importante. Todos los sitios web insisten en que cree una cuenta antes de poder hacer nada. StackOverflow, Serverfault, Wikipedia, WowWiki, Wowhead, MS Forums, CodeProject, CodePlex, y más, ...

Todos ellos exigen que cree seleccione un nombre de usuario único, una contraseña y bifurque mi dirección de correo electrónico. Luego insisten en que revise mi correo electrónico antes de que me dejen publicar, editar, descargar, hacer clic, comentar, calificar, etc. No hay razón para no dejarme usar su sitio en el instante en que entro en él.

Solo quiero que se callen. Quiero un inicio de sesión único que pueda usar en todas partes, con una dirección de correo electrónico que sea un agujero negro para que nunca tenga que leer su basura.

OpenID parece ser eso. Pero solo fue posible una vez que Google lo apoyó. Antes de eso, era el propio sistema de inicio de sesión propio de StackOverflow, que eran demasiado vagos para hospedarse. Ahora que Google admite OpenID, es concebible que todos ya lo tengan.

En estos días, odio tener que crear cuentas en sitios web y maldecir a los operadores que piensan que primero debería crear una cuenta.

No me hagas detestar tu sitio también.

Ian Boyd
fuente
Umm ... stackoverfow / serverfault no requiere nada para publicar. Pruébelo: use un navegador o máquina diferente y visite serverfault, y podrá hacer o responder preguntas sin registrarse. Si sigues usando ese mismo navegador, incluso ganarás reputación y privilegios con el tiempo, sin darles nada.
Joel Coel
y no era propiedad de stackoverflow ... Yahoo, Facebook, y una miríada de otros todo el apoyo y animar a él :)
Warren
¡Lo mejor de los estándares OpenID es que hay tantos para elegir!
Ian Boyd
2

Hay beneficios de usar openId en ambos lados: 1. Los desarrolladores no necesitan implementar el sistema de inicio de sesión (base de datos, procesamiento del cliente, seguridad de la aplicación, etc.) 2. Los usuarios no necesitan recordar un conjunto adicional de credenciales.

Por otro lado, puede asustar a algunos de los usuarios que no son realmente expertos en informática y se mostrarán reacios a revelar sus credenciales de Google para iniciar sesión en su sitio.

La mejor solución sería un sistema hibrid que permita tanto OpenID como el registro en el sitio, pero esto realmente arruinaría el primer beneficio que mencioné.

AlexDrenea
fuente
hmm, todos los que conozco estaban felices de darle a Facebook su u / p completo para que descargue su libreta de direcciones para enviarme spam 50 veces ...
Mark Henderson
2

La otra cosa que OpenID brinda a sus usuarios es la capacidad de utilizar credenciales más sólidas. Veo cierta preocupación por el phishing en las respuestas aquí, pero puede elegir un proveedor de OpenID que no use credenciales de phishable / rejugable en absoluto. Los certificados SSL o las tarjetas de información, por ejemplo, son compatibles con algunos proveedores. myOpenID tiene algo en lo que requiere que contestes una llamada telefónica antes de que puedas iniciar sesión. Estoy bastante seguro de que hay otros sitios que usan tokens de hardware.

Sí, la mayoría de sus usuarios probablemente solo hagan clic en el botón Yahoo y no lo usen. Pero les da la opción, y no tiene que preocuparse por los detalles de implementación. Afirmo que es más fácil agregar compatibilidad con OpenID a su sitio que admitir certificados SSL de manera cruzada. Y sin duda es más fácil que admitir todos los certificados SSL, tarjetas de información, verificación de teléfono, verificación de token, DDRpass, autenticación de estereograma de punto aleatorio o cualquier cosa extraña que piensen a continuación.

keturn
fuente
2

No estoy tratando de cambiar la opinión de nadie. Por favor, considere estos hechos. OpenID es solo dos cosas diferentes del sistema de autenticación de usuario + contraseña:

  • lugar donde ocurre su autenticación. Si utilizó nombre + contraseña antes, OpenID cambia el lugar donde se verifica la contraseña. Si utilizó el certificado anteriormente, OpenID cambia donde se verifica el certificado.
  • OpenID URL es único para todo el WWW (sin considerar DNS raíz alternativos)

Lo que estoy tratando de señalar es que nada más cambia:

  • OpenID no reemplaza el procedimiento de registro (pero puede simplificar el registro mediante la extensión sREG)
  • No es menos seguro. Si uno usó contraseñas cortas antes, las usará nuevamente.
  • no implica que no pueda tener cientos de identificadores diferentes para cada sitio web para personas paranoicas.
  • no implica "¡ Dios mío, eso es tecnología geek, huye! ". No, puede crear botones brillantes como el grupo de sitios StackOverflow para proveedores comunes de OpenID. Eso es mucho más fácil de usar.
  • No implica redireccionamientos. Puede realizar la autenticación en iframe o en una ventana de navegador separada.

Eso es como con cualquier otra tecnología. La mayoría de las cosas de las que habla la gente es mito porque no se tomaron un tiempo para estudiarlo o porque usaron una implementación incorrecta.

temoto
fuente
1

OpenID es más complicado y te hace depender de los otros proveedores que no van a fallar.

Uno de los problemas que StackOverflow tiene con él es que si inicias sesión con un OpenId diferente al que usas habitualmente, pierdes tus calificaciones e insignias (tal vez ya lo hayan solucionado, no lo has escuchado). Hubo una vez que no pude iniciar sesión durante una hora porque mi proveedor no estaba.

Lance Roberts
fuente
OpenID proporciona una manera de evitar eso: puede usar un sitio web personal para delegar a su proveedor real de OpenID, por lo que si el proveedor deja de funcionar, es fácil cambiar a otro. Por supuesto, eso no es probablemente el tipo de cosas que la mayoría de los no expertos en tecnología están en condiciones de hacer ...
David Z
1
No es "complicado", es simplemente diferente. Con OpenID: "ingrese openid.example.com, haga clic en Aceptar, ingrese su contraseña y estará registrado". Con el sistema actual: "ingrese su nombre de usuario y contraseña y posiblemente otros detalles, verifique su correo electrónico, haga clic en el enlace para activar su cuenta, finalmente vuelva a ingresar su nombre de usuario / contraseña". El uso diario de OpenID es absurdamente simple, y básicamente lo mismo: ingrese su OpenID, haga clic en Aceptar, ingrese su contraseña.
dbr
1
Además ... "si inicias sesión con un OpenId diferente al que usas habitualmente, pierdes tus calificaciones e insignias" - err, si inicias sesión con una cuenta diferente, por supuesto, pierdes los detalles de tu cuenta ... stackoverflow / serverfault le permite usar múltiples cuentas OpenID, y OpenID le permite usar su propio sitio personal como proveedor de OpenID, o como "proxy" para una o más (bueno, un delegado), como David mencionó
dbr
2
"OpenID proporciona una forma de evitarlo: puede usar un sitio web personal para delegar a su proveedor real de OpenID, por lo que si el proveedor deja de funcionar, es fácil cambiar a otro" He descubierto que no es realmente el caso. La mayoría de los "consumidores" de OpenID con los que he tratado almacenan la URL de OpenID redirigida (o canónica), no la que estaba delegando.
Evan
1
(Recién marcado, y eso incluye StackOverflow.) Muchos consumidores de OpenID le permiten adjuntar más de una ID a la misma cuenta, lo que puedo ver que es útil.
Evan
1

Odio openID y fue la razón principal para NO registrarme en serverfault / stackoverflow ¿Qué pasa con la privacidad del usuario? Algunos usuarios, como yo, son extremadamente paranoicos y no les gusta mezclar información de facebook / yahoo / google entre varios sitios web

Magnetic_dud
fuente
2
-1 OpenID no comparte información entre los sitios web que lo usan.
David Z
1
Lo sé, pero no le doy mi correo electrónico a nadie. Uso el correo desechable en todas partes, y si un sitio web bloquea los correos desechables, bueno, no obtendrán mi membresía. Usando openid = usando mi correo real = odio tanto
Magnetic_dud
1
No olvides que, gracias a OpenID, incluso la cuenta de Jeff Atwood fue pirateada. codinghorror.com/blog/archives/001263.html
Magnetic_dud
55
Mag_Dude .. La cuenta SO de Atwood fue pirateada porque utilizó la misma contraseña en un sitio inseguro que en su cuenta Openid. El tipo descifró su contraseña en el sitio inseguro, luego verificó su cuenta openid para ver si era la misma, y ​​lo fue.
tomjedrz
2
@Magnetic_dud: los sitios de clientes OpenID como StackOverflow / Serverfault no pueden robar sus credenciales con un mensaje de inicio de sesión falso. Todo lo que obtienen es su nombre OpenID , pero ese no es su nombre de usuario o contraseña. El único lugar donde ingresa su nombre de usuario / contraseña es con su proveedor OpenID original elegido. El único riesgo aquí es que su proveedor OpenID original sea pirateado o se vuelva pícaro, y prefiero confiar en alguien para quien mantener las credenciales es la competencia central para hacerlo bien que un grupo de sitios web aleatorios, y uno de los cuales podría hacer un error.
Joel Coel
1

OpenID, aunque agradable, conceptualmente enfrenta a IMO una batalla cuesta arriba porque es a) difícil de implementar para los desarrolladores yb) difícil para que los usuarios se acostumbren al concepto de usar una URL. El patrón de uso de nombre de usuario / contraseña está muy arraigado en este punto.

Dicho esto, eche un vistazo a Clickpass ( www.clickpass.com ). Intentan activamente que OpenID sea más fácil de usar.

Buena suerte.

Jauder Ho
fuente
¡Me gusta el hecho de que serverfault proporciona íconos grandes y seleccionables para los más comunes que hacen todo el trabajo por usted!
Mark Henderson
1

Aún no.

Necesita soporte de navegador. Los navegadores completarían una excelente experiencia de usuario con OpenID, ya que podrían administrar sus identidades de manera centralizada y hacer las cosas muy simples (parece que el sitio web que está visitando está usando OpenID, ¿desea usar http://yahoo.com? / usuario para iniciar sesión?) y seguro.

Pero en este momento, necesita un esfuerzo significativo para que OpenID sea utilizable. Tal como lo veo, debe proporcionar OpenID como opción o proporcionar su propio proveedor de OpenID a sus usuarios (haciéndolos libres de usar el servicio de un tercero).

alex
fuente
1

Piensa en los clientes. ¿Tu cliente objetivo es un geek? En caso afirmativo, OpenID impresionará a su cliente y ayudará a su sitio. De lo contrario, el trabajo adicional para que no sea amigable para los geeks va a agotar los recursos para entregar el contenido que le interesa a su cliente. Concéntrese en entregar valor a su cliente primero.

jeffspost
fuente
1

El problema con OpenID es que es excelente para cosas como ServerFault donde el nivel de confianza en la identidad de alguien no es realmente una consideración: una vez que empiezas a preocuparte, ahí es donde la vida se complica.

Se complica porque cuando controlo a mi proveedor de autenticación, implícitamente confío en ese proveedor porque lo ejecuto, y presumiblemente lo he implementado según el estándar que necesito. Cuando muevo la autenticación fuera de mi control, ahora también tengo que asignar un nivel de confianza al proveedor de autenticación.

En mi empleador, por ley, no puedo confiar en NINGÚN proveedor importante de OpenID porque:

  • No imponen cambios periódicos de contraseña
  • No imponen la longitud / complejidad de la contraseña
  • No puedo auditar sus prácticas de gestión de sistemas

Esa no es una lista completa de ninguna manera.

Para que OpenID funcione para aplicaciones no triviales, necesito un proveedor de confianza, y debo limitar a mis usuarios a ese proveedor (o proveedores) de confianza. Ese tipo de derrota toda la ventaja de "nombre de usuario / contraseña única". Incluso entonces, es posible que necesite hacer alguna verificación de identidad para los usuarios con niveles de confianza más altos. Me parece mucho trabajo, especialmente cuando administrar su propio proveedor de autenticación no es ciencia espacial.

En mi opinión, los gobiernos tienen el potencial de hacer que esta tecnología funcione. Si un DMV estatal / provincial o la oficina de correos ofrecen un servicio donde los ciudadanos establecen credenciales en línea, accesibles a través de OpenID, podrá confiar en las credenciales de la oficina de correos / DMV. (Porque el gobierno dice: "Confiarás en nosotros") Creo que países como Noruega y Dinamarca ya están emitiendo credenciales PKI individuales.

duffbeer703
fuente
2
Sabes, podrías construir un proveedor OpenID que haga todo eso. Tal vez cobrar por el servicio y comercializarlo a los empleados del gobierno como un inicio de sesión único seguro, legal y compatible con la web más grande.
Joel Coel
Ese es un producto que sería genial, pero también amortigua todo el concepto OpenID.
duffbeer703
1

Para un sitio de redes sociales, OpenID ayudará a atraer a los expertos en tecnología. Sin embargo, si esa es su única opción, asustará a todos los demás. Los usuarios están acostumbrados a registrarse con nuevos inicios de sesión y contraseñas en cada sitio. OpenID es nuevo y extranjero, y puede hacer que los usuarios se pregunten por qué están dando sus credenciales a un tercero. Para un usuario típico, OpenID también podría decir GiveMeYourInformationSoICanSpamYou ... es solo una razón más para que duden de la integridad de su sitio.

En resumen: determine su base de usuarios y raspe OpenID o use OpenID y un sistema de inicio de sesión administrado por la aplicación.

Bip bip
fuente
1

Me pregunto por qué la gente piensa que openID es más seguro. Para los usuarios expertos en tecnología, esto podría aplicarse, pero un usuario común no detectaría la diferencia entre un inicio de sesión de openID real y uno falso que borrará la contraseña.
Peor aún, ellos también sabrán qué cuenta openID asociar con esta contraseña, y probablemente puedan causar mucho más daño que con una simple combinación de nombre de usuario / correo electrónico / contraseña.

openID es una solución técnica para usuarios técnicos, y no muy útil para usuarios comunes. Entonces, para los sitios técnicos puede florecer, pero no veo eso para los sitios comunes en el corto plazo.

Sam
fuente
1

Diría que sí, OpenID es mejor que la solución de inicio de sesión habitual desde el punto de vista del usuario , por estos motivos:

  • No tengo que recordar otro nombre de usuario y contraseña para su sitio
  • Puedo usar una ID de inicio de sesión para varios sitios, si quiero
  • Siempre obtengo el mismo nombre de usuario: no agrego números y basura aleatoria al final de las ID de inicio de sesión hasta que obtengo uno gratis
  • Se volverá más popular y mejor comprendido por los usuarios a medida que pase el tiempo
  • Explicar a los usuarios cómo funciona y los beneficios para ellos es bastante sencillo.
  • La mayoría de los usuarios tendrán una cuenta de correo electrónico gratuita de Yahoo o Google que pueden usar como proveedor de OpenID -> probablemente ni siquiera saben que esto es posible.
  • Los usuarios aún pueden dar una dirección de correo electrónico diferente a la del proveedor de OpenID (si es una cuenta gratuita de yahoo / gmail / cualquiera) en la que pueden hacer clic en un enlace para confirmar, como copia de seguridad para enviar correos electrónicos de "Olvidé mi contraseña" o otras notificaciones o marketing gumph a.

Recuerde que el hecho de que tenga la opción de OpenID no significa que no pueda dar a los usuarios la opción de respaldo de tener un combo tradicional de nombre de usuario + contraseña en caso de que no quieran usar OpenID o no tengan un proveedor No hay nada de malo en permitir que los usuarios elijan lo que quieran si lo saben, y de lo contrario, usar de manera predeterminada OpenID , imo :)

David Gardner
fuente
1

Open ID es una de esas cosas que amas o detestas la idea. Creo que realmente se reduce a la idea de si ves la centralización de la "autenticidad" con entusiasmo o escepticismo.

En otras palabras, cuando descubres que una cuenta en un sitio de openid está comprometida, ¿piensas, "oh sh! T, ahora estoy potencialmente comprometida en cada sitio para el que uso ese openid" o "oh, bueno, ahora yo solo tengo que cambiar mi contraseña para todos esos sitios en un solo lugar ".

nedm
fuente
0

Al trabajar en este campo, terminamos con mucha información de credenciales de inicio de sesión. OpenID me permite usar una cuenta ya establecida para autenticarme sin tener que configurar otra cuenta y contraseña. Con muchos sitios que comienzan a admitir OpenID, hay muchas más opciones en el autenticador de OpenID que utiliza para validar su identidad.

También puede configurar su propio autenticador OpenID en su propio sitio si no desea utilizar uno de los ya existentes. De esta manera, puede mantener un mayor control sobre exactamente qué información se proporciona cuando se autentica.

Creo que tener la opción de crear una cuenta o usar OpenID para autenticar es una gran combinación que cubre tanto a los paranoicos de seguridad como a los que desean la facilidad de uso.

Jeremy Bouse
fuente
0

Creo que OpenID es excelente, y lo estamos considerando para nuestro sitio. Sin embargo, necesitaríamos oAuth, y también querríamos el correo electrónico de los usuarios. Lo usamos ampliamente, y una cosa que hacemos es enviar un boletín por correo electrónico. Permitimos la exclusión voluntaria de eso, pero para que nuestro sistema funcione, queremos eso.

Parece que hay un grupo de expertos en tecnología que odian renunciar a un usuario / pwd, y puedo entender eso. Algunos son defensores de la privacidad, y entiendo completamente. Algunos son simplemente vagos, no quieren configurar un usuario / pwd, algunos son solo tomadores. Quieren obtener información de Internet, pero nunca la pagan de ninguna manera, de ninguna manera (publicidad, costo, etc.) Creo que es una minoría de personas, ya que la mayoría de las personas entienden que necesitan contribuir o pagar de alguna manera .

Debe examinar su sitio, qué detalles / información necesita, y luego tomar una decisión sobre si cumple con sus necesidades. Si lo hace, puede agregarlo además del método de inicio de sesión actual. ¿Necesita contactar personas, informarles de cosas, etc.

Tener una forma central de autenticarse es genial, pero hay problemas, como se mencionó, con la falta de cambios / complejidad de la contraseña. Sin embargo, ese es un problema del usuario más que un problema del sitio. Se produce un compromiso a nivel del usuario, que nunca resolveremos. Pero significa que usted, como propietario del sitio, no es responsable si ocurre.

Steve Jones
fuente
0

El único problema que veo con OpenID es el siguiente:

Imagine dos sitios afiliados. Ambos permiten el inicio de sesión OpenID. Seguramente pueden compartir las estadísticas de actividad entre ellos, digamos que hago la acción X y la acción Y en el primer sitio y luego, cuando visito el segundo sitio, me bombardean con anuncios dirigidos, de acuerdo con mis actividades en el primer sitio. Por alguna razón, la falta de aislamiento entre los inicios de sesión de OpenID me parece un poco desagradable.

Pero la cuestión es que la máxima comodidad de OpenID (un conjunto de credenciales, con suerte seguro) no se ve eclipsada por el inconveniente mencionado anteriormente. Uso OpenID siempre que puedo, y si fuera a desarrollar un servicio web para uso público, definitivamente lo haría compatible con OpenID (tal vez con una opción de registro convencional).

shylent
fuente
Si usa Google como su proveedor de OpenID, en realidad emiten un OpenID diferente (que incluye una gran cadena aleatoria) a cada sitio que visita, para evitar ese tipo de problema de correlación entre sitios del que está hablando. Personalmente, considero que es una característica anti por defecto, porque significa que si un sitio cambia su dominio de inicio de sesión, todos sus OpenID emitidos por Google se rompen, pero resuelve ese problema. Sería bueno si fuera opcional.
keturn