O Open ID é melhor que o sistema de logon usual? [fechadas]

23

Estamos desenvolvendo um sistema web e considerando o uso do recurso Open Id. Você acha que é melhor do que a maneira usual de logar usuários? Se usarmos o recurso Open Id, isso significa que os usuários serão redirecionados para o site de sua escolha de provedores Open Id, que executariam mais ações. Então eles precisam fazer o login lá e ser redirecionados de volta ao nosso site. Os usuários ficariam confortáveis ​​com isso?

Nota: é mais um site de rede social, mas não é nada volumoso.

login website openid DragonBorn
fonte
3
Isto é completamente subjetivo.
Bill Weiss
As respostas aqui geralmente não são aplicáveis ​​à criação de aplicativos corporativos, onde as empresas já têm seu próprio diretório. Nesses casos, você deve considerar federar seu próprio Diretório usando o WS-Trust ou através do protocolo Open ID
goodguys_activate

Respostas:

27

Adoro o OpenID e é absolutamente melhor que a metáfora "tradicional" de credenciais por site. Não quero mais credenciais para gerenciar e não quero confiar no J. Random site para armazenar credenciais que forneço com segurança. Eu acho que os usuários se sentirão mais confortáveis ​​com isso à medida que se tornar mais comum. Esperemos que se torne mais comum.

Evan Anderson
fonte
Então, por enquanto não é?
DragonBorn
2
Não é o que? Comum? Eu não vi muitos sites usando, mas espero que mais. Espero que se torne comum e bem aceito pelos usuários. No momento, não sei se o usuário final médio "trsuts" OpenID ou não. Tenho a sensação de que a grande maioria não se importam em tudo e clique através de qualquer coisa para conseguir o que eles estão tentando ver ...
Evan Anderson
3
Eu diria que o problema não é a confiança, mas sim que o usuário final "médio" tem provavelmente nunca ouviu falar de OpenID ..
DBR
2
Eu acho que "confiança" é a solução. Para "vender" o OpenID aos usuários, precisamos informar ativamente a eles "Estamos permitindo que o Google / Yahoo / etc manipule a autenticação e não armazene seu nome de usuário / senha em nossos servidores ..." É um pensamento positivo - tire e jargão técnico e apenas relacioná-lo como a coisa boa que é.
Evan Anderson
1
@ Jim B: Confio no fabricante de aplicativos J. Random para fazer um trabalho bom o suficiente, armazenando meus dados (e, se não o fizer, eu mesmo armazenarei cópias deles). A autenticação é um problema mais difícil, IMO, e eu prefiro que os "grandões" façam isso. Dito isto, não sei se o OpenID é apropriado para todos os tipos de aplicativos. Para logons em sites "casuais", como falha do servidor, sites de fórum etc., eu estou bem com isso. Se estou negociando negócios, seria mais difícil vender no OpenID.
Evan Anderson
16

Por favor, aponte se estamos errados.

Visualizações negativas

  • Acreditamos que, para usuários em geral, talvez NÃO seja o caminho preferível.
  • Usuários com menos conhecimento técnico pensariam duas vezes ou ficariam confusos.
  • Eles não estão acostumados.
  • Eles precisam usar uma identificação aberta de um determinado provedor, o que pode ser irritante para eles.
  • Eles podem odiar porque serão redirecionados para outro site.
  • Eles podem entender errado!

Vistas positivas

  • É confiável porque não estamos pedindo suas credenciais.
  • É mais rápido após o login.
  • "Supera o esgotamento de credenciais". É muito difícil rastrear quantas pessoas pulam um site porque se recusam a manter outro nome de usuário / senha. - Kara Mafia
DragonBorn
fonte
19
Para os profissionais, eu acrescentaria "supera o esgotamento de credenciais". É muito difícil rastrear quantas pessoas pulam um site porque se recusam a manter outro nome de usuário / senha. Eu sei que estou lá.
22630 Kara Marfia
Muito verdadeiro ... :)
DragonBorn
1
Eu acho que permitir OpenID. Não me faça pular os bastidores para usar seu site. Se você insistir em fornecer um nome de usuário / senha / e-mail, vou seguir em frente. Dê-me o OpenID e eu vou pelo menos olhar para ele.
3107 Ian Boyd
Eu gostaria de poder votar duas vezes, um dia algo como openid pode ser útil, mas por enquanto é apenas mais uma PITA para os usuários.
21139 Jim B
Jim: Eu acredito que sim. :)
DragonBorn
10

Não se esqueça de que não precisa ser uma opção de opção. Você pode (e provavelmente deveria) adicionar suporte ao OpenID, além dos métodos tradicionais de login. Isso não afugenta os usuários 'gerais' - eles apenas usam o método existente, tornando a vida muito mais agradável para quem usa o OpenID.

Marca
fonte
7

O OpenID oferece várias vantagens, dentre elas a principal, permitindo que você fique preguiçoso com a autenticação. A autorização ainda é seu problema, mas pelo menos você não precisa se preocupar tanto com o armazenamento seguro de credenciais. Isso é uma coisa boa na minha opinião. A 'rede precisa de mais' partes confiáveis ​​'', como falha do servidor.

sysadmin1138
fonte
5

Se você fizer login com um OpenID, precisará fazer login no seu provedor apenas uma vez - na segunda vez, o usuário nem verá a página do provedor.

Além disso, talvez o RPXnow seja interessante.

gravidade
fonte
4

Eu, pessoalmente, cruzei a linha para amar o OpenID. Eu costumava ser resistente a isso por paranóia geral. Agora é demais para manter tudo em ordem. Concordo que usuários não-tecnológicos podem ter dificuldades no início, mas acho que quanto mais difundido se torna, mais confortáveis ​​as pessoas ficarão. Alguns sites oferecem um sistema de autenticação tradicional (local) e também a opção de usar o OpenID. Eu acho que a educação vai ajudar muito aqui, por isso, se você explicar claramente o que é o OpenID e seus benefícios, isso ajudará bastante na aceitação.

Como uma tecnologia de logon único (SSO), ela está aberta aos riscos gerais de qualquer SSO. Dessa perspectiva, ainda não estou pronto para integrar meu banco ou sites médicos a ele :) Não que seja oferecido por eles de qualquer maneira ...

squillman
fonte
4

Vou falar disso com o OpenID, que você normalmente quer OAuth, que recebe baixa criminalidade da imprensa.

Outros já elaboraram o suficiente sobre o OpenID, o OAuth acrescenta ao conjunto que outro site não apenas sabe quem você é através do seu provedor OpenID, mas também pode dizer o que o site em questão tem permissão para saber sobre você.

  • precisa de e-mail para detalhes do usuário
  • precisa de nome / sobrenome para detalhes do usuário
  • precisa de país

pode estar tudo bem. Que tal aqueles:

  • número da Segurança Social
  • Número do Cartão de Crédito
  • número de telefone
  • endereço postal

Portanto, o OpenID + OAuth é uma ótima combinação: ao usar os dois, você não apenas tem um único local para manter um nome de usuário e senha, mas também onde mantém detalhes sobre si mesmo e não perde a visão geral sobre qual site tem acesso a quais detalhes sobre você.

serverhorror
fonte
Eu amo OAuth em teoria. Na prática, encontrei muito pouca granularidade. A maioria dos consumidores de OAuth parece estar pedindo para acessar (ler e escrever) todos os seus dados.
Evan
Os dados dos quais você está falando - e-mail, nome, país, endereço etc. - podem ser transferidos com uma extensão OpenID, como Registro Simples (sreg) ou Attribute Exchange. A limitação é que ele só pode ser transferido no momento do login através do agente do usuário. O que o OAuth adiciona é a capacidade do aplicativo cliente e do servidor de ter uma conexão direta através da qual o cliente pode fazer chamadas de API sem a presença do usuário, o que pode ser mais útil em alguns casos. (por exemplo, você deseja que o endereço de e-mail quando você envia o boletim, não quando o usuário efetuar login.)
keturn
3

Eu posso pensar em um cenário em que o OpenID ganhará muitos usuários no local. Suponha que um site importante perca milhões de senhas de usuários para hackers maus [*] e a lista vaze. A maioria dos usuários entrará em pânico, não apenas por causa de uma conta específica, mas porque eles usam o mesmo login / senha para vários sites. E eles fazem. Eu sei que eu faço. E eu não acompanho essas contas, então o resultado é que eu nunca posso alterar minhas senhas .

Agora, quando sei que um vilão pode roubar minhas contas, o que farei? Vou tentar passar por essa tarefa esmagadora de alterar senhas. Ou então, vou me deparar com o conceito OpenID e tentar converter todas essas contas na ocasião. Isso significa que efetivamente ainda tenho um único login / senha para vários sites, mas agora posso pelo menos facilmente alterar a senha em todos eles . E caso hackers mal-intencionados roubem meu OpenID, tenho um único problema para solicitar a redefinição de senha ou pelo menos para desativar a conta.

[*] - leia: script kiddies

kubanczyk
fonte
3

Quanto mais eu visito vários sites, mais desejo um recurso de logon único.

Todo site pensa que o deles é o mais importante. Todo site insiste em que você crie uma conta antes de fazer qualquer coisa. StackOverflow, Serverfault, Wikipedia, WowWiki, Wowhead, MS Forums, CodeProject, CodePlex, etc., ...

Todos eles exigem que eu crie selecione um nome de usuário exclusivo, uma senha e garfo sobre o meu endereço de email. Em seguida, eles insistem em que eu verifique meu e-mail antes de me deixar postar, editar, fazer download, clicar, comentar, avaliar etc. Não motivo para não me deixar usar o site no instante em que entrei nele.

Eu só quero que todos se calem. Eu quero um login único que eu possa usar em qualquer lugar, com um endereço de e-mail que seja um buraco negro, para que eu nunca precise ler o lixo deles.

OpenID parece ser isso. Mas isso só foi possível quando o Google o apoiou. Antes disso, era o sistema de login próprio do StackOverflow - que eles tinham preguiça de se hospedar. Agora que o Google suporta o OpenID, é realmente concebível que todos já o tenham.

Hoje em dia, detesto ter que criar contas em sites e xingar os operadores que acham que eu deveria criar uma conta primeiro.

Não me faça detestar seu site também.

Ian Boyd
fonte
Umm ... stackoverfow / serverfault não requer nada para postar. Experimente: use um navegador ou máquina diferente e visite serverfault, e você poderá fazer ou responder perguntas sem se inscrever. Se você continuar usando o mesmo navegador, ganhará até representantes e privilégios ao longo do tempo, sem nunca dar a eles nada.
Joel Coel
e não era proprietária para stackoverflow ... Yahoo, Facebook, e uma miríade de outros todo o apoio e incentivá-la :)
Warren
A grande vantagem dos padrões OpenID é que há tantos por onde escolher!
23710 Ian Boyd
2

Existem vantagens em usar o openId nos dois lados: 1. Os desenvolvedores não precisam implementar o sistema de login (banco de dados, processamento de clientes, segurança de aplicativos etc.) 2. Os usuários não precisam se lembrar de um conjunto extra de credenciais.

Por outro lado, você pode assustar alguns usuários que não são realmente conhecedores de computadores e relutam em ceder, digamos, suas credenciais do Google para fazer login no seu site.

A melhor solução seria um sistema hibrid que permitisse o registro no OpenID e no local, mas isso realmente arruinaria o primeiro benefício que mencionei.

AlexDrenea
fonte
hmm, todos que eu sei foi feliz em dar facebook seu pleno u / p para que ele baixe o seu livro de endereços a spam me 50 vezes ...
Mark Henderson
2

A outra coisa que o OpenID oferece aos usuários é a capacidade de usar credenciais mais fortes. Vejo alguma preocupação com o phishing nas respostas aqui, mas você pode escolher um provedor OpenID que não use credenciais phishable / replayable. Certificados SSL ou cartões de informações, por exemplo, são suportados em alguns fornecedores. O myOpenID tem algo em que exige que você atenda uma ligação antes de efetuar o login. Tenho certeza de que existem outros sites que usam tokens de hardware.

Sim, a maioria dos usuários provavelmente apenas clicará no botão Yahoo e não usará isso. Mas isso lhes dá a opção, e você não precisa se preocupar com os detalhes da implementação. Afirmo que é mais fácil adicionar suporte OpenID ao seu site do que oferecer suporte a certificados SSL de maneira entre navegadores. E é certamente mais fácil do que suportar todos os certificados SSL, cartões de informação, verificação por telefone, verificação de token, DDRpass, autenticação de estereograma de pontos aleatórios ou qualquer coisa maluca que eles pensem a seguir.

keturn
fonte
2

Não estou tentando mudar de idéia. Por favor, considere estes fatos. O OpenID é apenas duas coisas diferente do sistema de autenticação de usuário + senha:

  • local onde sua autenticação acontece. Se você usou nome + senha antes, o OpenID altera o local onde a senha é verificada. Se você usou o certificado antes, o OpenID muda onde o certificado está marcado.
  • O URL do OpenID é exclusivo para toda a WWW (sem considerar os DNS-es raiz alternativos)

O que estou tentando apontar é que nada mais é alterado:

  • O OpenID não substitui o procedimento de registro (mas pode simplificar o registro via extensão sREG)
  • não é menos seguro. Se alguém usou senhas curtas antes, ele as usará novamente.
  • isso não significa que você não pode ter centenas de IDs diferentes para todos os sites disponíveis para pessoas paranóicas.
  • isso não significa " OMG, que é uma tecnologia nerd, fuja !! ". Não, você pode criar bons botões brilhantes, como o grupo de sites StackOverflow fez para fornecedores comuns de OpenID. Isso é muito mais fácil de usar.
  • isso não implica redirecionamentos. Você pode fazer autenticação no iframe ou em uma janela separada do navegador.

É como qualquer outra tecnologia. A maioria das coisas que as pessoas falam sobre isso é mito porque não demoraram para estudá-lo ou porque usaram implementação incorreta.

temoto
fonte
1

O OpenID é mais complicado e o torna dependente dos outros provedores que não caem.

Um dos problemas que o StackOverflow tem com isso é que, se você entrar com um OpenId diferente do habitual, perde suas classificações e insígnias (talvez eles tenham corrigido isso até agora, não tenham ouvido). Houve uma vez em que não consegui entrar por uma hora porque meu provedor estava inoperante.

Lance Roberts
fonte
O OpenID fornece uma maneira de contornar isso - você pode usar um site pessoal para delegar ao seu provedor OpenID real; portanto, se o provedor cair, é fácil mudar para outro. Claro, que provavelmente não é o tipo de coisa que a maioria não-técnicos são até fazendo ...
David Z
1
Não é "complicado", é apenas diferente. Com o OpenID: "digite openid.example.com, clique em OK, digite sua senha e você se inscreveu". Com o sistema atual: "digite seu nome de usuário e senha e, possivelmente, outros detalhes, verifique seu e-mail, clique no link para ativar sua conta e, finalmente, digite novamente seu login / senha". O uso diário do OpenID é absurdamente simples e basicamente o mesmo - digite seu OpenID, clique em OK, digite sua senha.
DBR
1
Além disso .. "que, se você entrar com um OpenId diferente do habitual, perde suas classificações e insígnias" - err, se você entrar com uma conta diferente, é claro que perderá os detalhes da sua conta. Stackoverflow / serverfault permite que você use várias contas OpenID, e OpenID permite que você use seu próprio site pessoal como um provedor OpenID ou como um "proxy" para um ou mais (bem, um delegado), como David mencionou
dbr
2
"O OpenID fornece uma maneira de contornar isso - você pode usar um site pessoal para delegar ao seu provedor OpenID real; portanto, se o provedor for desativado, é fácil mudar para outro" Eu descobri que esse não é realmente o caso. A maioria dos "consumidores" do OpenID que lidei com a loja armazena o URL do OpenID redirecionado (ou canônico), e não o que estava delegando.
Evan
1
(Acabei de marcar e isso inclui o StackOverflow.) Muitos consumidores de OpenID permitem que você anexe mais de um ID à mesma conta, o que eu acho útil.
Evan
1

Eu odeio o openID e foi o principal motivo para NÃO me inscrever no serverfault / stackoverflow E a privacidade do usuário? Alguns usuários, como eu, são extremamente paranóicos e não gostam de misturar informações do facebook / yahoo / google entre vários sites

Magnetic_dud
fonte
2
-1 O OpenID não compartilha informações entre os sites que o utilizam.
21415 David Z
1
eu sei, mas não dou meu email a ninguém. Uso e-mails descartáveis ​​em qualquer lugar e, se um site bloquear e-mails descartáveis, eles não receberão minha associação. Usando OpenID = usando meu e-mail verdadeiro = i odeia tanto
Magnetic_dud
1
Não se esqueça que, graças ao OpenID, até a conta de Jeff Atwood foi invadida. codinghorror.com/blog/archives/001263.html
Magnetic_dud
5
Mag_Dude .. A conta SO de Atwood foi hackeada porque ele usou a mesma senha em um site inseguro que em sua conta Openid. O cara decifrou sua senha no site inseguro, depois verificou sua conta aberta para ver se era a mesma coisa.
#
2
@Magnetic_dud: sites de clientes OpenID como o StackOverflow / Serverfault não podem roubar suas credenciais com um prompt de login falso. Tudo o que recebem é o seu nome OpenID , mas esse não é seu nome de usuário ou senha. O único lugar em que você digita seu nome de usuário / senha é com o provedor OpenID original escolhido. O único risco aqui é que o seu provedor OpenID original seja hackeado ou não funcione, e eu prefiro confiar em alguém para quem manter credenciais é a principal competência para fazê-lo corretamente do que um bando de sites aleatórios, e um deles poderia fazer um erro.
Joel Coel
1

O OpenID enquanto agradável conceitualmente enfrenta a IMO uma batalha difícil porque é a) difícil para os desenvolvedores implementarem eb) difícil para os usuários se acostumarem ao conceito de usar um URL. O padrão de uso de nome de usuário / senha está bastante arraigado neste momento.

Dito isto, dê uma olhada no Clickpass ( www.clickpass.com ). Eles estão tentando ativamente tornar o OpenID mais fácil de usar.

Boa sorte.

Jauder Ho
fonte
Gosto do fato de o serverfault fornecer ícones grandes e clicáveis ​​para os mais comuns que fazem todo o trabalho para você!
Mark Henderson
1

Ainda não.

Ele precisa de suporte do navegador. Os navegadores completariam uma excelente experiência do usuário com o OpenID, pois eles poderiam gerenciar suas identidades de maneira centralizada e tornar as coisas muito simples (parece que o site que você está visitando está usando o OpenID, deseja usar o http://yahoo.com / usuário para efetuar login?) e seguro.

Mas agora, você precisa de um esforço significativo para tornar o OpenID utilizável. Na minha opinião, você precisa fornecer o OpenID como uma opção ou fornecer seu próprio provedor de OpenID aos seus usuários (tornando-os livres para usar o serviço de terceiros).

alex
fonte
1

Pense nos clientes. Seu cliente-alvo é um nerd? Se sim, o OpenID impressionará seu cliente e ajudará seu site. Caso contrário, o trabalho extra para torná-lo não-geek vai drenar recursos da entrega de conteúdo com o qual o cliente se importa. Concentre-se em agregar valor ao seu cliente primeiro.

jeffspost
fonte
1

O problema com o OpenID é ótimo para coisas como ServerFault, onde o nível de confiança na identidade de alguém não é realmente uma consideração - uma vez que você começa a se importar, é aí que a vida fica complicada.

Fica complicado, porque quando eu controlo meu provedor de autenticação, confio implicitamente nesse provedor porque o executo e, presumivelmente, o implementei no padrão exigido. Quando movo a autenticação para fora do meu controle, agora também tenho que atribuir um nível de confiança ao provedor de autenticação.

No meu empregador, por lei, não posso confiar em QUALQUER grande fornecedor OpenID por aí porque:

  • Eles não impõem alterações periódicas de senha
  • Eles não impõem o comprimento / complexidade da senha
  • Não consigo auditar suas práticas de gerenciamento de sistemas

Essa não é uma lista abrangente, de forma alguma.

Para fazer o OpenID funcionar em aplicativos não triviais, preciso de um provedor confiável - e devo limitar meus usuários a esse (s) provedor (es) confiável (s). Isso acaba com toda a vantagem do "nome de usuário / senha" únicos. Mesmo assim, talvez ainda seja necessário verificar a identidade de usuários com níveis mais altos de confiança. Parece muito trabalho para mim, especialmente quando gerenciar seu próprio provedor de autenticação não é ciência do foguete.

Na IMO, os governos têm o potencial de fazer essa tecnologia funcionar. Se uma DMV estadual / provincial ou a agência postal oferecer um serviço em que os cidadãos estabeleçam credenciais on-line, acessíveis via OpenID, você poderá confiar nas credenciais da agência postal / DMV. (Como o governo diz: 'Você confiará em nós'). Acredito que países como a Noruega e a Dinamarca já estão emitindo credenciais individuais de PKI.

duffbeer703
fonte
2
Você sabe, você pode criar um provedor OpenID que faça tudo isso. Talvez cobrar pelo serviço e comercializá-lo para funcionários do governo como um logon único seguro, legal e compatível com a web maior.
Joel Coel
Esse é um produto que seria ótimo, mas também amortece todo o conceito OpenID.
duffbeer703
1

Para um site de rede social, o OpenID ajudará a atrair os entendidos em tecnologia. No entanto, se essa for sua única opção, isso assustará todos os outros. Os usuários estão acostumados a se inscrever com novos logons e senhas em cada site. O OpenID é novo e estrangeiro e pode fazer com que os usuários se perguntem por que estão dando suas credenciais a terceiros. Para um usuário típico, o OpenID também pode dizer GiveMeYourInformationSoICanSpamYou ... é apenas mais um motivo para que duvidem da integridade do seu site.

Em resumo - determine sua base de usuários e raspe o OpenID ou use o OpenID e um sistema de login gerenciado por aplicativos.

Bip Bip
fonte
1

Eu me pergunto por que as pessoas pensam que o openID é mais seguro. Para usuários experientes em tecnologia, isso pode se aplicar, mas um usuário comum não identificaria a diferença entre um login openID real e um falsificado que raspará a senha.
Pior ainda, eles também saberão qual conta do openID se associar a essa senha e provavelmente poderão causar muito mais danos do que com uma simples combinação de nome de usuário / email / senha.

O openID é uma solução técnica para usuários técnicos e não é muito útil para usuários comuns. Portanto, para sites técnicos, pode florescer, mas não vejo isso em sites comuns tão cedo.

Sam
fonte
1

Eu diria que sim, o OpenID é melhor do que a solução de login usual do ponto de vista do usuário , por estes motivos:

  • Não preciso me lembrar de outro nome de usuário e senha para o seu site
  • Posso usar um ID de login para vários sites, se quiser
  • Eu sempre recebo o mesmo nome de usuário - sem adicionar números e porcaria aleatória no final dos IDs de login até obter um que é gratuito
  • Ele ficará mais popular e melhor compreendido pelos usuários com o passar do tempo
  • Explicar aos usuários como ele funciona e os benefícios para eles é bem direto
  • A maioria dos usuários terá uma conta de e-mail gratuita do Yahoo ou do Google que eles podem usar como um provedor OpenID -> eles provavelmente nem sabem que isso é possível.
  • Os usuários ainda podem fornecer um endereço de e-mail diferente ao provedor do OpenID (se for uma conta gratuita do yahoo / gmail / qualquer que seja), na qual você pode clicar em um link para confirmar, como um backup para enviar e-mails de "esqueci minha senha" ou outras notificações ou informações de marketing para.

Lembre-se de que, apenas porque você tem a opção de OpenID, isso não significa que você também não pode oferecer aos usuários a opção de backup de ter uma combinação tradicional de nome de usuário e senha, caso eles não desejem usar o OpenID ou não tenham um provedor. Não há nada de errado em deixar os usuários escolherem o que eles querem, se souberem, e usar o OpenID como padrão :)

David Gardner
fonte
1

O Open ID é uma daquelas coisas que você ama ou detesta a idéia - acho que realmente se resume à idéia de ver a centralização da "autenticidade" com entusiasmo ou ceticismo.

Em outras palavras, quando você descobre que uma conta em um site aberto está comprometida, você pensa: "ah, merda, agora estou potencialmente comprometida em todos os sites em que uso esse openid" ou "oh, bom, agora eu só preciso alterar minha senha para todos esses sites em um só lugar ".

nedm
fonte
0

Trabalhando nesse campo, acabamos com várias informações de credenciais de login. O OpenID me permite usar uma conta já estabelecida para me autenticar sem precisar configurar outra conta e senha. Com muitos sites começando a oferecer suporte ao OpenID, há muito mais opções de escolha em qual autenticador OpenID você usa para validar sua identidade.

Você também pode configurar seu próprio autenticador OpenID em seu próprio site, se não quiser usar um dos já existentes. Dessa forma, você pode manter mais controle sobre exatamente quais informações estão sendo fornecidas quando são autenticadas por elas.

Acho que ter a opção de criar uma conta ou usar o OpenID para autenticar é uma ótima combinação que abrange tanto a segurança paranóica quanto a que deseja a facilidade de uso.

Jeremy Bouse
fonte
0

Acho que o OpenID é ótimo, e estamos considerando isso no nosso site. No entanto, precisaríamos do oAuth e estaríamos querendo o email dos usuários também. Usamos isso extensivamente, e uma coisa que fazemos é enviar um boletim por e-mail. Permitimos a exclusão, mas, para o nosso sistema funcionar, gostaríamos disso.

Parece que há um grupo rígido de técnicos que odeiam abrir mão de um usuário / senha, e eu posso entender isso. Alguns são defensores da privacidade, e eu entendo completamente. Alguns são preguiçosos, não querem configurar um usuário / senha, outros são apenas compradores. Eles querem obter informações da Internet, mas nunca pagam por isso de nenhuma maneira (publicidade, custo, etc.). Acho que é uma minoria de pessoas, pois a maioria das pessoas entende que precisa contribuir ou pagar de alguma forma .

Você precisa examinar seu site, quais detalhes / informações você precisa e depois decidir se ele atende às suas necessidades. Caso isso aconteça, você pode adicioná-lo além do método de login atual. Você precisa entrar em contato com as pessoas, informá-las sobre coisas etc.

Ter uma maneira central de se autenticar é ótimo, mas há problemas, como mencionado, com a falta de alterações / complexidade de senha. No entanto, esse é um problema do usuário mais do que um problema do site. Um compromisso ocorre no nível do usuário, o qual nunca resolveremos. Mas isso significa que você, como proprietário do site, não é responsável se ocorrer.

Steve Jones
fonte
0

O único problema que vejo no OpenID é o seguinte:

Imagine dois sites afiliados. Ambos permitem o login OpenID. Certamente, eles poderão compartilhar as estatísticas de atividades entre si - digamos, eu faço a ação X e a ação Y no primeiro site e, quando visito o segundo site, sou bombardeado com anúncios direcionados, de acordo com minhas atividades no primeiro site. Por alguma razão, a falta de isolamento entre os logins do OpenID parece um pouco desagradável para mim.

Mas o fato é que a conveniência final do OpenID (um conjunto de credenciais, esperançosamente seguro,) não fica ofuscado pela desvantagem acima mencionada. Eu uso o OpenID sempre que posso e, se eu desenvolvesse um serviço da Web para uso público, eu definitivamente o faria dar suporte ao OpenID (talvez com uma opção de registro convencional).

shylent
fonte
Se você usa o Google como seu provedor OpenID, eles emitem um OpenID diferente (que inclui uma grande sequência aleatória) para todos os sites que você visita, para evitar esse tipo de problema de correlação entre sites que você está falando. Pessoalmente, considero que um anti-recurso deve ter por padrão, porque significa que, se um site altera seu domínio de login, todos os seus OpenIDs emitidos pelo Google são interrompidos, mas solucionam esse problema. Seria bom se fosse opcional.
keturn