He visto esta pregunta en Quora, donde muchas personas parecen estar de acuerdo en que OpenID es malo, incluso llegando a afirmar que:
OpenID es la peor "solución" posible que he visto en toda mi vida a un problema que la mayoría de la gente realmente no tiene
Luego, he visto artículos y tuits que hacen referencia a esa pregunta diciendo que OpenID ha perdido y que Facebook ganó.
Es triste leer, ya que me gusta bastante el OpenID (o al menos la idea detrás de él). Literalmente odio obtener otro nombre de usuario / contraseña para la página (lo olvidaré de todos modos): es un problema bastante grave para mí y conozco a muchas personas con el mismo problema. Por lo tanto, pensé que OpenId es una gran solución, pero ya no estoy seguro.
Entonces, la pregunta es ¿aún debería molestarme en implementar OpenID o no vale la pena? ¿Cuál es la forma más sólida y conveniente (desde la perspectiva del usuario) de identificar y autenticar a un usuario?
fuente
Respuestas:
Esta discusión siempre surge debido a un hecho ignorado: OpenID nunca fue diseñado como protocolo de inicio de sesión. Esa es una mala atribución posterior.
OpenID fue concebido como un servicio de verificación de URL de la página de inicio . Y para eso fue viable. Pero debido a la falta de alternativas, se reutilizó rápidamente como protocolo de inicio de sesión general. Se crearon algunas características (registro simple, intercambio de atributos) para facilitar eso mejor. Pero en esencia, OpenID es un esquema de verificación de autoridad de URL.
De aquí provienen los errores de usabilidad e implementación. La ventaja de inicio de sesión múltiple solo es importante para los usuarios afines a la técnica, no es una simplificación real para los usuarios comunes. (No me hagas comenzar con la robustez; solo recuperé mi inicio de sesión de Stackoverflow).
Pero aún así no existe una alternativa generalizada o técnicamente superior (hubo algunos OpenID anteriores pero carecían de palabras de moda y de aceptación de marketing). Como un entusiasta partidario de código abierto, incluso consideraría Microsofts Passport o Cardspace lo que sea sobre él, pero actualmente no es una opción.
De vuelta a su pregunta: se adhieren a OpenID. Para usuarios comunes, haga posible los pares de nombre de usuario / contraseña de la vieja escuela, y OpenID opcional Quizás OpenID3 encuentre una adopción generalizada y solucione algunos de los problemas. O tal vez algo más aparece. La idea general detrás del concepto fue genial.
fuente
¿No puedes implementar AMBOS?
Todos eligen la opción según su preferencia y su estado de paranoia.
OpenID proporciona una gran comodidad. También proporciona un riesgo de seguridad aún más masivo.
[Riesgo del usuario] ¿Qué pasa si Facebook / Google / etc. ¿decide que su cuenta ha sido comprometida y necesita dar su número de teléfono o una copia del pasaporte para volver a habilitarla? ¿Irías por ello?
[Riesgo de la compañía] ¿Qué pasa si Facebook / Google / etc. decide cerrar su servicio o comenzar a cobrar por él? Luego, como propietario del sitio, estás enormemente jodido.
[Espionaje de datos] ¿Por qué permitirles recopilar estadísticas detalladas de muchos sitios de consumidores y ayudarlos a crear perfiles personales de personas? ¿Quién sabe qué harán con él? ¿Venderlo, usarlo para ajustar sus tácticas de marketing, presentarlo a la CIA?
Hombre, es tan básico y simple: evita depender de nadie y decide por ti mismo qué cuándo y si te sucederá.
fuente
En realidad, creo que el principal problema con OpenID no es la implementación o la facilidad de uso es mala. Tampoco creo que sean los problemas de seguridad con OpenID, per-se. Creo que el problema principal es que es una solución en busca de un problema, un problema que, para la mayoría de los usuarios, no es realmente un gran problema de todos modos.
Una mejor solución al problema de tener que recordar muchas contraseñas, etc. es usar una aplicación de administrador de contraseñas. Un administrador de contraseñas incluso simplificará el proceso de registro para usted, ya que completará automáticamente todos los campos comunes (nombre, etc.) y generará una contraseña aleatoria automáticamente. Lo único que tendrá que hacer, por lo general, es verificar su dirección de correo electrónico.
fuente
El problema con openid, o más general, con tener una selección de proveedores de cuentas en el sitio web para iniciar sesión en su sitio web, es que los usuarios tienden a olvidar qué proveedor eligieron antes. Un día pueden usar google, el próximo mes pueden usar facebook y tres meses después quizás twitter. Para el sitio web, se verá como tres usuarios diferentes. En tal caso, los usuarios se frustran porque pueden iniciar sesión en su sistema, pero no en la misma cuenta que antes.
fuente
Los principales problemas con OpenID, como veo, son dos:
En A, para un usuario que ve un botón "iniciar sesión con Facebook" es fácil y sencillo de obtener. Ver un control con 10 iconos (Google, Yahoo, AOL, etc.) es confuso. Aún más, el hecho de que el "inicio de sesión" es una URL, algo que mucha gente no sabe que existe, todo lo que hacen es escribir una búsqueda en Bing / Google y seguir los enlaces. Conozco a muchas personas que cuando van a Facebook, buscan Facebook en Google y hacen clic en el enlace, ¡no intenten explicarles el concepto de dominio!
En B, Facebook es el estándar. Es un poco como PayPal y las alternativas: para un comercio electrónico, PayPal puede no ser la mejor opción en cuanto al precio debido a sus cargos en las transacciones, pero si no usan PayPal, están arriesgando a muchos clientes potenciales. Acerca del inicio de sesión es el mismo: Facebook abre su web a 500 millones de usuarios que son usuarios activos de Internet y lo suficientemente conocedores de la tecnología como para probablemente 'obtener' su sitio. Honestamente, ¿por qué deberías pasar más tiempo apoyando otras cosas? ¡Pase ese tiempo desarrollando el producto!
Debido a B, A empeora a medida que los usuarios esperan el inicio de sesión de Facebook, y Open Id los confunde más.
Y no empiezo con los problemas ya discutidos en Code Horror sobre los usuarios que inician sesión en el mismo sitio con diferentes cuentas de Open ID y los problemas que esto puede plantear ...
En general, me gusta la idea de Open ID, pero (¿tristemente?) Facebook lo ha hecho mejor.
fuente