¿OpenID es realmente tan malo?

31

He visto esta pregunta en Quora, donde muchas personas parecen estar de acuerdo en que OpenID es malo, incluso llegando a afirmar que:

OpenID es la peor "solución" posible que he visto en toda mi vida a un problema que la mayoría de la gente realmente no tiene

Luego, he visto artículos y tuits que hacen referencia a esa pregunta diciendo que OpenID ha perdido y que Facebook ganó.

Es triste leer, ya que me gusta bastante el OpenID (o al menos la idea detrás de él). Literalmente odio obtener otro nombre de usuario / contraseña para la página (lo olvidaré de todos modos): es un problema bastante grave para mí y conozco a muchas personas con el mismo problema. Por lo tanto, pensé que OpenId es una gran solución, pero ya no estoy seguro.

Entonces, la pregunta es ¿aún debería molestarme en implementar OpenID o no vale la pena? ¿Cuál es la forma más sólida y conveniente (desde la perspectiva del usuario) de identificar y autenticar a un usuario?

openid user-experience DoPPler
fuente
77
OpenID tiene sus defectos, pero como no he oído hablar de nada mejor para reemplazarlo, no diría que perdió. Facebook no es una alternativa para OpenID, ya que está centralizado y muchas personas simplemente no quieren tener una cuenta de Facebook. ¿Vale la pena el esfuerzo? En mi opinión subjetiva, lo es.

Respuestas:

13

Esta discusión siempre surge debido a un hecho ignorado: OpenID nunca fue diseñado como protocolo de inicio de sesión. Esa es una mala atribución posterior.

OpenID fue concebido como un servicio de verificación de URL de la página de inicio . Y para eso fue viable. Pero debido a la falta de alternativas, se reutilizó rápidamente como protocolo de inicio de sesión general. Se crearon algunas características (registro simple, intercambio de atributos) para facilitar eso mejor. Pero en esencia, OpenID es un esquema de verificación de autoridad de URL.

De aquí provienen los errores de usabilidad e implementación. La ventaja de inicio de sesión múltiple solo es importante para los usuarios afines a la técnica, no es una simplificación real para los usuarios comunes. (No me hagas comenzar con la robustez; solo recuperé mi inicio de sesión de Stackoverflow).
Pero aún así no existe una alternativa generalizada o técnicamente superior (hubo algunos OpenID anteriores pero carecían de palabras de moda y de aceptación de marketing). Como un entusiasta partidario de código abierto, incluso consideraría Microsofts Passport o Cardspace lo que sea sobre él, pero actualmente no es una opción.

De vuelta a su pregunta: se adhieren a OpenID. Para usuarios comunes, haga posible los pares de nombre de usuario / contraseña de la vieja escuela, y OpenID opcional Quizás OpenID3 encuentre una adopción generalizada y solucione algunos de los problemas. O tal vez algo más aparece. La idea general detrás del concepto fue genial.

mario
fuente
Es un hecho interesante, no lo sabía. Gracias por su respuesta Como he mencionado antes, me temo que la implementación de 'todo' (según mi comentario en la publicación de @DeveloperArt) asustará y / o confundirá a los usuarios, pero tal vez me equivoque y si se hace bien, este es el ¿mejor solución?
DoPPler
11

¿No puedes implementar AMBOS?

Todos eligen la opción según su preferencia y su estado de paranoia.

OpenID proporciona una gran comodidad. También proporciona un riesgo de seguridad aún más masivo.

[Riesgo del usuario] ¿Qué pasa si Facebook / Google / etc. ¿decide que su cuenta ha sido comprometida y necesita dar su número de teléfono o una copia del pasaporte para volver a habilitarla? ¿Irías por ello?

[Riesgo de la compañía] ¿Qué pasa si Facebook / Google / etc. decide cerrar su servicio o comenzar a cobrar por él? Luego, como propietario del sitio, estás enormemente jodido.

[Espionaje de datos] ¿Por qué permitirles recopilar estadísticas detalladas de muchos sitios de consumidores y ayudarlos a crear perfiles personales de personas? ¿Quién sabe qué harán con él? ¿Venderlo, usarlo para ajustar sus tácticas de marketing, presentarlo a la CIA?

Hombre, es tan básico y simple: evita depender de nadie y decide por ti mismo qué cuándo y si te sucederá.


fuente
Podría ir e implementar ambos, eso es cierto. Podría agregar soporte para cualquier proveedor de OpenID a través de URL, luego enumerar 3-4 los más populares, luego agregar soporte de OAuth para Facebook y Twitter y luego agregar mi propio (¿bueno?) Inicio de sesión / contraseña / registro de correo electrónico / formulario de inicio de sesión para usuarios que no me importa otra contraseña. Lo que pasa es que no quiero asustar a mis usuarios, solo quiero que puedan iniciar sesión rápidamente. En cuanto a los riesgos de seguridad mencionados, ¿son realmente tan masivos ?
DoPPler
La probabilidad de que ocurra no es masiva, pero si suceden, sus consecuencias serán masivas.
44
De todos modos, tenga en cuenta que muchas personas no tienen una cuenta de Facebook y no la crearán. No es prudente negarles el acceso.
Muchos puntos positivos aquí @Developer Art sobre no depender de un solo proveedor, para negocios y para un individuo. Los sistemas de comentarios de Disqus y Wordpress se han dado cuenta de que les dan a los administradores (y usuarios) una opción de OpenID, Yahoo, Google, Facebook, Twitter, quizás más. Y ofrezca la oportunidad de asociar identificaciones, pero no lo requiere. Segundo buen punto: ¡Evite que una entidad agregue su información! Tan verdadero. Puede suceder de todos modos. ¿Por qué hacerlo más fácil usando el mismo proveedor cada vez? Además: ¡todo Facebook, SOLO el mundo de Facebook NO es la solución! Ojalá pudiera darte más votos a favor.
Ellie Kesselman
¡Sus argumentos contra OpenID son en realidad argumentos para OpenID! Cualquiera puede lanzar su propia autoridad OpenID. No tengo que crear una cuenta de Google o Facebook para iniciar sesión en un sitio que usa OpenID. Ahora que Google ha desconectado OpenID como una forma de promover su servicio de Google+, otros probablemente también lo harán y hemos perdido la batalla por un estándar verdaderamente abierto para iniciar sesión en sitios.
Brad
5

En realidad, creo que el principal problema con OpenID no es la implementación o la facilidad de uso es mala. Tampoco creo que sean los problemas de seguridad con OpenID, per-se. Creo que el problema principal es que es una solución en busca de un problema, un problema que, para la mayoría de los usuarios, no es realmente un gran problema de todos modos.

Una mejor solución al problema de tener que recordar muchas contraseñas, etc. es usar una aplicación de administrador de contraseñas. Un administrador de contraseñas incluso simplificará el proceso de registro para usted, ya que completará automáticamente todos los campos comunes (nombre, etc.) y generará una contraseña aleatoria automáticamente. Lo único que tendrá que hacer, por lo general, es verificar su dirección de correo electrónico.

Dean Harding
fuente
Esto está muy cerca de lo que parece ser la opinión general en Quora, pero muchas veces he escuchado de mis amigos técnicos y no tan técnicos que tienen un problema con el seguimiento de múltiples contraseñas, así que no creo Este es un problema que "no existe" (sin embargo, podría ser menos molesto de lo que creo). Ciertamente, el uso de un administrador de contraseñas es una solución (no sin defectos propios), pero estoy buscando una tecnología que pueda implementar para ayudar a mis visitantes a obtener una mejor experiencia de canto.
DoPPler
1

El problema con openid, o más general, con tener una selección de proveedores de cuentas en el sitio web para iniciar sesión en su sitio web, es que los usuarios tienden a olvidar qué proveedor eligieron antes. Un día pueden usar google, el próximo mes pueden usar facebook y tres meses después quizás twitter. Para el sitio web, se verá como tres usuarios diferentes. En tal caso, los usuarios se frustran porque pueden iniciar sesión en su sistema, pero no en la misma cuenta que antes.

Marcin
fuente
1
¿Estás seguro de eso? Me pregunté lo mismo tan pronto como escuché por primera vez sobre OpenID. Intenté ponerme a prueba, ver si lo que describiste es cierto. A veces es, como en StackExchange, con su implementación de OpenID. Pero otros sitios web hacen la asociación correctamente a inicios de sesión anteriores, o preguntan si tenía una cuenta previa, e indican el proveedor pasado de OpenID de manera general. ¿Quizás eso se deba a un inicio de sesión combinado de OpenID-OAuth? No lo sé. Pero estoy de acuerdo con usted, ¡los usuarios olvidan qué proveedor eligieron antes! Es un verdadero problema.
Ellie Kesselman
0

Los principales problemas con OpenID, como veo, son dos:

  • A) No es fácil de usar para chicos no técnicos
  • B) No es tan ampliamente utilizado como las alternativas

En A, para un usuario que ve un botón "iniciar sesión con Facebook" es fácil y sencillo de obtener. Ver un control con 10 iconos (Google, Yahoo, AOL, etc.) es confuso. Aún más, el hecho de que el "inicio de sesión" es una URL, algo que mucha gente no sabe que existe, todo lo que hacen es escribir una búsqueda en Bing / Google y seguir los enlaces. Conozco a muchas personas que cuando van a Facebook, buscan Facebook en Google y hacen clic en el enlace, ¡no intenten explicarles el concepto de dominio!

En B, Facebook es el estándar. Es un poco como PayPal y las alternativas: para un comercio electrónico, PayPal puede no ser la mejor opción en cuanto al precio debido a sus cargos en las transacciones, pero si no usan PayPal, están arriesgando a muchos clientes potenciales. Acerca del inicio de sesión es el mismo: Facebook abre su web a 500 millones de usuarios que son usuarios activos de Internet y lo suficientemente conocedores de la tecnología como para probablemente 'obtener' su sitio. Honestamente, ¿por qué deberías pasar más tiempo apoyando otras cosas? ¡Pase ese tiempo desarrollando el producto!

Debido a B, A empeora a medida que los usuarios esperan el inicio de sesión de Facebook, y Open Id los confunde más.

Y no empiezo con los problemas ya discutidos en Code Horror sobre los usuarios que inician sesión en el mismo sitio con diferentes cuentas de Open ID y los problemas que esto puede plantear ...

En general, me gusta la idea de Open ID, pero (¿tristemente?) Facebook lo ha hecho mejor.

Pere Villega
fuente
44
He visto muchas implementaciones que son realmente malas. Pero la implementación aquí en Stack Exchange es, en mi opinión, bastante buena. Probablemente podría ir un paso más allá y hacer que la experiencia sea muy similar a la experiencia de 'iniciar sesión con Facebook' (también Google y Yahoo admiten algún tipo de híbrido OAuth u OpenID / OAuth). Estoy totalmente de acuerdo con el hecho de que ver a varios proveedores puede ser engañoso y causar algunos problemas adicionales, pero por otro lado, eso le brinda a su usuario la mayor flexibilidad (también conozco personas que no usan Facebook).
DoPPler
El hecho de que tengo que iniciar sesión cada vez que voy a una rama diferente de SE me hace sentir que la implementación es deficiente. FFS, si he usado mi OpenID para registrarme en SO y Prog, ¿por qué demonios tengo que iniciar sesión en ambos en la misma visita? ¿Esto es progreso?
Dibujó