OpenID é realmente tão ruim assim?

31

Eu já vi essa pergunta no Quora, onde muitas pessoas parecem concordar que o OpenID é ruim, chegando a afirmar que:

O OpenID é a pior "solução" possível que já vi em toda a minha vida para um problema que a maioria das pessoas realmente não tem

Então eu vi artigos e tweets referenciando essa pergunta dizendo que o OpenID perdeu e o Facebook venceu.

É triste ler como eu gosto bastante do OpenID (ou pelo menos uma ideia por trás dele). Eu literalmente odeio obter mais um login / senha para a página (eu esquecerei mesmo assim) - é um problema muito sério para mim e conheço muitas pessoas com o mesmo problema. Por isso, pensei que o OpenId é uma ótima solução, mas não tenho mais certeza.

Portanto, a questão é: ainda devo me preocupar em implementar o OpenID ou não vale a pena? Qual é a maneira mais robusta e conveniente (da perspectiva do usuário) de identificar e autenticar um usuário?

openid user-experience DoPPler
fonte
7
O OpenID tem suas falhas, mas como não ouvi nada melhor para substituí-lo, não diria que ele perdeu. O Facebook não é uma alternativa para o OpenID, pois é centralizado e muitas pessoas simplesmente não querem ter uma conta no Facebook. Vale a pena o esforço? Na minha opinião subjetiva, é.

Respostas:

13

Essa discussão sempre surge devido a um fato amplamente ignorado: o OpenID nunca foi projetado como protocolo de login. Essa é uma má atribuição posterior.

O OpenID foi concebido como serviço de verificação de URL da página inicial . E para isso era viável. Mas, devido à falta de alternativas, foi rapidamente adaptado como protocolo geral de login. Alguns recursos foram criados (registro simples, troca de atributos) para facilitar isso melhor. Mas, em sua essência, o OpenID é um esquema de verificação de autoridade de URL.

É daí que vêm os erros de usabilidade e implementação. A vantagem do multi login é importante apenas para usuários técnicos, não uma simplificação real para usuários comuns. (Não me inicie com robustez; apenas recuperei meu login no Stackoverflow.)
Mas ainda não existe uma alternativa amplamente difundida ou tecnicamente superior (havia algum OpenID anterior, mas faltava um chavão e uma aceitação de marketing). Como um ávido defensor de código aberto, eu consideraria o Microsofts Passport ou o Cardspace o que quer que seja, mas atualmente não é uma opção.

Voltar à sua pergunta: Atenha-se ao OpenID. Para usuários comuns, tornam possíveis os pares de nome de usuário / senha da velha escola e o OpenID opcional. Talvez o OpenID3 encontre uma adoção ampla e corrija alguns dos problemas. Ou talvez algo mais apareça. A ideia geral por trás do conceito foi legal.

mario
fonte
Isso é um fato interessante, eu não sabia disso. Obrigado pela sua resposta Como mencionei antes, tenho medo de que a implementação de 'tudo' (conforme meu comentário na publicação @DeveloperArt) assuste e / ou confunda os usuários, mas talvez eu esteja errado e, se bem feito, esse é o melhor solução?
DoPPler
11

Você não pode implementar AMBOS?

Todo mundo escolhe a opção com base em sua preferência e estado de paranóia.

O OpenID oferece grande comodidade. Ele também fornece um risco de segurança ainda maior.

[Risco do usuário] E se o Facebook / Google / etc. decide que sua conta foi comprometida e você precisa fornecer seu número de telefone ou uma cópia do passaporte para reativá-la? Você aceitaria isso?

[Risco da empresa] E se o Facebook / Google / etc. decidir encerrar o serviço ou começar a cobrar por isso? Então, como proprietário de um site, você está ferrado demais.

[Espionagem de dados] Por que deixá-los reunir as estatísticas detalhadas de muitos sites de consumidores e ajudá-los a criar perfis pessoais de pessoas? Quem sabe o que eles farão com isso? Vendê-lo, usá-lo para ajustar suas táticas de marketing, enviá-lo à CIA?

Cara, é tão básico e simples - evite ficar dependente de alguém e decida por si mesmo o que quando e se acontecerá com você.


fonte
Eu poderia implementar os dois, isso é verdade. Eu poderia adicionar suporte para qualquer provedor OpenID via URL, listar os 3-4 mais populares, adicionar suporte OAuth para Facebook e Twitter e adicionar meu próprio formulário de login / senha / registro de email / login / login antigo (bom?) Para usuários que não me importo com outra senha. O problema é que não quero assustar meus usuários - só quero que eles consigam entrar rapidamente. Quanto aos riscos de segurança mencionados - estes são realmente tão grandes ?
DoPPler
A probabilidade de ocorrerem não é enorme, mas se eles acontecerem, suas consequências serão enormes.
4
De qualquer forma, lembre-se de que muitas pessoas não têm uma conta no Facebook e não a criam. Não é aconselhável negar-lhes acesso.
Muitos pontos positivos aqui do @Developer Art sobre não depender de um único provedor, para negócios e para um indivíduo. Os sistemas de comentários Disqus e Wordpress perceberam que, eles dão aos administradores (e usuários) uma opção de OpenID, Yahoo, Google, Facebook, Twitter, talvez mais. E ofereça a oportunidade de associar IDs, mas não exige. Segundo ponto positivo: evite deixar uma entidade agregar suas informações! Tão verdade. Pode acontecer de qualquer maneira. Por que tornar mais fácil usar sempre o mesmo provedor? Além disso: todo o Facebook, APENAS o mundo do Facebook NÃO é a solução! Gostaria de poder lhe dar mais votos.
Ellie Kesselman
Seus argumentos contra o OpenID são na verdade argumentos para o OpenID! Qualquer pessoa pode iniciar sua própria autoridade OpenID. Não preciso criar uma conta do Google ou do Facebook para acessar um site que usa o OpenID. Agora que o Google desativou o OpenID como forma de promover o serviço do Google+, outros provavelmente também o farão e perdemos a batalha por um padrão verdadeiramente aberto para acessar sites.
Brad
5

Na verdade, acho que o principal problema do OpenID não é a implementação ou a facilidade de uso é ruim. Também não acho que sejam os problemas de segurança do OpenID, por si só. Eu acho que o principal problema é que é uma solução em busca de um problema - um problema que, para a maioria dos usuários, não é realmente um grande negócio.

Uma solução melhor para o problema de ter que lembrar muitas senhas, etc, é usar um aplicativo gerenciador de senhas. Um gerenciador de senhas até simplifica o processo de registro para você, pois preenche automaticamente todos os campos comuns (nome, etc.) e gera automaticamente uma senha aleatória. Geralmente, a única coisa que você precisa fazer é verificar seu endereço de email.

Dean Harding
fonte
Isso é muito parecido com o que a opinião geral do Quora parece ser, mas já ouvi muitas vezes de meus amigos técnicos e não tão técnicos que eles têm um problema em acompanhar várias senhas, então eu acho que não. esse é um problema que "não existe" (no entanto, pode ser menos incômodo do que eu imagino). Certamente, o uso de um gerenciador de senhas é uma solução (não sem falhas próprias), mas estou procurando uma tecnologia que possa ser implementada para ajudar meus visitantes a obter uma melhor experiência de cantar.
DoPPler
1

O problema do openid, ou mais geral, de ter uma seleção de provedores de conta no site para fazer login no site, é que os usuários tendem a esquecer qual provedor escolheram antes. Um dia eles podem usar o google, no próximo mês eles podem usar o facebook e três meses depois, talvez o twitter. Para o site, serão três usuários diferentes. Nesse caso, os usuários ficam frustrados porque podem fazer login no seu sistema, mas não na mesma conta que anteriormente.

Marcin
fonte
1
Você tem certeza disso? Eu me perguntei a mesma coisa assim que ouvi falar do OpenID. Eu tentei me testar, ver se o que você descreveu é verdade. Às vezes é, como no StackExchange, com a implementação do OpenID. Mas outros sites fazem a associação corretamente a logons anteriores ou perguntam se eu tinha uma conta anterior e indicam o provedor OpenID anterior de uma maneira geral. Talvez seja por causa de uma entrada combinada do OpenID-OAuth? Eu não sei. Mas eu concordo com você, os usuários esquecem qual provedor eles escolheram antes! É um problema real.
Ellie Kesselman
0

Os principais problemas com o OpenID, como eu vejo, são dois:

  • A) Não é fácil de usar para pessoas não técnicas
  • B) Não é tão amplamente utilizado quanto as alternativas

Em A, para um usuário que vê um botão "login com facebook" é fácil e simples de obter. Ver um controle com 10 ícones (Google, Yahoo, AOL, etc) é confuso. Ainda mais que o "login" é uma URL, algo que muitas pessoas não sabem que existe, pois tudo o que fazem é digitar uma pesquisa no Bing / Google e seguir os links. Conheço muitas pessoas que, quando vão ao Facebook, pesquisam o Facebook no Google e clicam no link, não tentam explicar o conceito de domínio para elas!

Em B, o Facebook é o padrão. É um pouco como o PayPal e as alternativas: para um comércio eletrônico, o PayPal pode não ser a melhor opção em termos de preço devido às cobranças nas transações, mas se eles não usam o PayPal, estão arriscando muitos clientes em potencial. Sobre o login é o mesmo: o Facebook abre sua web para 500 milhões de usuários ativos na Internet e conhecedores de tecnologia o suficiente para provavelmente 'obter' seu site. Honestamente, por que você deveria gastar mais tempo apoiando outras coisas? Passe esse tempo desenvolvendo o produto!

Devido a B, A se torna pior à medida que os usuários esperam o login no Facebook, e o Open Id os confunde mais.

E não começo com os problemas já discutidos no Code Horror sobre o login de usuários no mesmo site com diferentes contas de Open ID e os problemas que isso pode gerar ...

No geral, gosto da ideia do Open ID, mas (infelizmente?) O Facebook fez isso melhor.

Pere Villega
fonte
4
Eu já vi muitas implementações que são realmente ruins. Mas a implementação aqui no Stack Exchange é, na minha opinião, muito boa. Provavelmente, você poderia dar um passo adiante e tornar a experiência muito semelhante à experiência de "entrar com o Facebook" (também o Google e o Yahoo suportam algum tipo de híbrido OAuth ou OpenID / OAuth). Eu concordo totalmente com o fato de que ver vários provedores pode ser enganoso e causar alguns problemas adicionais, mas por outro lado, dá mais flexibilidade ao usuário (também conheço pessoas que não usam o Facebook).
DoPPler
O fato de eu precisar fazer login toda vez que vou para um ramo diferente do SE me faz sentir que a implementação é ruim. FFS, se eu usei meu OpenID para me registrar na SO e Prog, por que diabos eu tenho que fazer login nas duas na mesma visita? Isso é progresso?!?
Drew