¿Open ID es mejor que el sistema habitual de inicio de sesión? [cerrado]

Estamos desarrollando un sistema web y estamos considerando usar la función Open Id. ¿Crees que es mejor que la forma habitual de iniciar sesión en los usuarios? Si usamos la función Open Id, eso significa que los usuarios serán redirigidos al sitio de su elección de proveedores de Open Id que tomarían más medidas. Luego tienen que iniciar sesión allí y ser redirigidos a nuestro sitio. ¿Los usuarios se sentirían cómodos con esto?

Nota: Es más un sitio de redes sociales pero no algo voluminoso.

Me encanta OpenID, y es absolutamente mejor que la metáfora de credenciales "tradicionales" por sitio. No quiero administrar más credenciales, y no quiero confiar en el sitio J. Random para almacenar las credenciales que proporciono de forma segura. Creo que los usuarios se sentirán más cómodos con él a medida que se vuelva más común. Esperemos que se vuelva más común.

Señale si estamos equivocados.

Vistas negativas

• Creemos que para los usuarios en general, NO podría ser la forma preferible.
• Los usuarios que tienen menos conocimiento tecnológico pensarían dos veces o se confundirían.
• NO están acostumbrados.
• Tienen que hacer uso de una identificación abierta de un determinado proveedor que puede ser molesto para ellos.
• Pueden odiarlo porque serán redirigidos a otro sitio.
• ¡Pueden equivocarse!

Vistas positivas

• Es confiable porque no estamos pidiendo sus credenciales.
• Es más rápido una vez que inicias sesión.
• "Supera el agotamiento de credenciales". Es muy difícil rastrear cuántas personas se saltan un sitio porque se niegan a mantener otro nombre de usuario / contraseña. - Kara Mafia

No olvide que no tiene que ser una opción o una opción. Puede (y probablemente debería) agregar compatibilidad con OpenID además de los métodos de inicio de sesión tradicionales. Esto no asustará a los usuarios 'generales': solo usan el método existente, mientras hacen la vida mucho más agradable para aquellos que usan OpenID.

OpenID ofrece una serie de ventajas, la principal de ellas le permite ser perezoso con la autenticación. La autorización sigue siendo su problema, pero al menos no tiene que preocuparse tanto por el almacenamiento seguro de las credenciales. Esto es algo bueno en mi opinión. La 'red necesita más' partes confiantes 'como serverfault.

Si inicia sesión con un OpenID, solo necesita iniciar sesión en su proveedor una vez ; la segunda vez, el usuario ni siquiera verá la página del proveedor.

Además, quizás RPXnow sea ​​interesante.

Personalmente, he cruzado la línea para amar OpenID. Solía ​​ser resistente a la paranoia general. Ahora es demasiado doloroso en un $$ para mantener todo en orden. Estoy de acuerdo en que los usuarios no tecnológicos pueden tener dificultades al principio, pero creo que cuanto más se extienda, más cómoda se sentirá la gente. Algunos sitios ofrecen un sistema de autenticación tradicional (local) y también la opción de usar OpenID. Creo que la educación va a ayudar mucho aquí, así que si explicas claramente qué es OpenID y sus beneficios, eso será de gran ayuda para la aceptación.

Como tecnología de inicio de sesión único (SSO) está abierta a los riesgos generales de cualquier SSO. Desde esa perspectiva, todavía no estoy listo para integrar mi banco o sitios médicos :) No es que lo ofrezcan de todos modos ...

Agregaré eso con OpenID, por lo general, quieres OAuth, que tiene una presión criminal baja.

Otros han elaborado lo suficiente sobre OpenID, OAuth agrega al conjunto que otro sitio no solo sabe quién es usted a través de su proveedor de OpenID, sino que también puede decir lo que el sitio en cuestión tiene permitido saber sobre usted.

• necesita correo electrónico para detalles del usuario
• necesita nombre / apellido para detalles del usuario
• necesita país

puede estar todo bien ¿Qué tal esos:

• Número de seguridad social
• Número de tarjeta de crédito
• número de teléfono
• direccion postal

Entonces, OpenID + OAuth es una gran combinación, al usar ambos, no solo tiene un solo lugar para mantener un nombre de usuario y contraseña, sino también donde guarda detalles sobre usted y no pierde información general sobre qué sitio tiene acceso a qué detalles sobre usted.

Puedo pensar en un escenario en el que OpenID obtendrá muchos usuarios en el acto. Supongamos que un sitio importante pierde millones de contraseñas de usuario ante hackers malvados [*], y la lista se filtra. La mayoría de los usuarios entrarán en pánico, no solo por una cuenta específica, sino porque usan el mismo nombre de usuario / contraseña para múltiples sitios. Y ellos lo hacen. Sé lo que hago. Y no mantengo un seguimiento de estas cuentas, por lo que el resultado es que nunca puedo cambiar mis contraseñas .

Ahora, cuando sé que un villano puede robar mis cuentas, ¿qué haré? Intentaré superar esta abrumadora tarea de cambiar las contraseñas. O tropezaré con el concepto OpenID e intentaré convertir todas estas cuentas en la ocasión. Esto significaría que efectivamente todavía tengo un único inicio de sesión / contraseña para varios sitios, pero ahora al menos puedo cambiar fácilmente la contraseña en todos ellos . Y en caso de que los piratas informáticos malvados roben mi OpenID, tengo un solo problema para solicitar el restablecimiento de la contraseña o al menos para deshabilitar la cuenta.

[*] - lee: script kiddies

Cuanto más visito varios sitios web, más quiero una función de inicio de sesión único.

Cada sitio web piensa que el suyo es el más importante. Todos los sitios web insisten en que cree una cuenta antes de poder hacer nada. StackOverflow, Serverfault, Wikipedia, WowWiki, Wowhead, MS Forums, CodeProject, CodePlex, y más, ...

Todos ellos exigen que cree seleccione un nombre de usuario único, una contraseña y bifurque mi dirección de correo electrónico. Luego insisten en que revise mi correo electrónico antes de que me dejen publicar, editar, descargar, hacer clic, comentar, calificar, etc. No hay razón para no dejarme usar su sitio en el instante en que entro en él.

Solo quiero que se callen. Quiero un inicio de sesión único que pueda usar en todas partes, con una dirección de correo electrónico que sea un agujero negro para que nunca tenga que leer su basura.

OpenID parece ser eso. Pero solo fue posible una vez que Google lo apoyó. Antes de eso, era el propio sistema de inicio de sesión propio de StackOverflow, que eran demasiado vagos para hospedarse. Ahora que Google admite OpenID, es concebible que todos ya lo tengan.

En estos días, odio tener que crear cuentas en sitios web y maldecir a los operadores que piensan que primero debería crear una cuenta.

No me hagas detestar tu sitio también.

Hay beneficios de usar openId en ambos lados: 1. Los desarrolladores no necesitan implementar el sistema de inicio de sesión (base de datos, procesamiento del cliente, seguridad de la aplicación, etc.) 2. Los usuarios no necesitan recordar un conjunto adicional de credenciales.

Por otro lado, puede asustar a algunos de los usuarios que no son realmente expertos en informática y se mostrarán reacios a revelar sus credenciales de Google para iniciar sesión en su sitio.

La mejor solución sería un sistema hibrid que permita tanto OpenID como el registro en el sitio, pero esto realmente arruinaría el primer beneficio que mencioné.

La otra cosa que OpenID brinda a sus usuarios es la capacidad de utilizar credenciales más sólidas. Veo cierta preocupación por el phishing en las respuestas aquí, pero puede elegir un proveedor de OpenID que no use credenciales de phishable / rejugable en absoluto. Los certificados SSL o las tarjetas de información, por ejemplo, son compatibles con algunos proveedores. myOpenID tiene algo en lo que requiere que contestes una llamada telefónica antes de que puedas iniciar sesión. Estoy bastante seguro de que hay otros sitios que usan tokens de hardware.

Sí, la mayoría de sus usuarios probablemente solo hagan clic en el botón Yahoo y no lo usen. Pero les da la opción, y no tiene que preocuparse por los detalles de implementación. Afirmo que es más fácil agregar compatibilidad con OpenID a su sitio que admitir certificados SSL de manera cruzada. Y sin duda es más fácil que admitir todos los certificados SSL, tarjetas de información, verificación de teléfono, verificación de token, DDRpass, autenticación de estereograma de punto aleatorio o cualquier cosa extraña que piensen a continuación.

No estoy tratando de cambiar la opinión de nadie. Por favor, considere estos hechos. OpenID es solo dos cosas diferentes del sistema de autenticación de usuario + contraseña:

• lugar donde ocurre su autenticación. Si utilizó nombre + contraseña antes, OpenID cambia el lugar donde se verifica la contraseña. Si utilizó el certificado anteriormente, OpenID cambia donde se verifica el certificado.
• OpenID URL es único para todo el WWW (sin considerar DNS raíz alternativos)

Lo que estoy tratando de señalar es que nada más cambia:

• OpenID no reemplaza el procedimiento de registro (pero puede simplificar el registro mediante la extensión sREG)
• No es menos seguro. Si uno usó contraseñas cortas antes, las usará nuevamente.
• no implica que no pueda tener cientos de identificadores diferentes para cada sitio web para personas paranoicas.
• no implica "¡ Dios mío, eso es tecnología geek, huye! ". No, puede crear botones brillantes como el grupo de sitios StackOverflow para proveedores comunes de OpenID. Eso es mucho más fácil de usar.
• No implica redireccionamientos. Puede realizar la autenticación en iframe o en una ventana de navegador separada.

Eso es como con cualquier otra tecnología. La mayoría de las cosas de las que habla la gente es mito porque no se tomaron un tiempo para estudiarlo o porque usaron una implementación incorrecta.

OpenID es más complicado y te hace depender de los otros proveedores que no van a fallar.

Uno de los problemas que StackOverflow tiene con él es que si inicias sesión con un OpenId diferente al que usas habitualmente, pierdes tus calificaciones e insignias (tal vez ya lo hayan solucionado, no lo has escuchado). Hubo una vez que no pude iniciar sesión durante una hora porque mi proveedor no estaba.

Odio openID y fue la razón principal para NO registrarme en serverfault / stackoverflow ¿Qué pasa con la privacidad del usuario? Algunos usuarios, como yo, son extremadamente paranoicos y no les gusta mezclar información de facebook / yahoo / google entre varios sitios web

OpenID, aunque agradable, conceptualmente enfrenta a IMO una batalla cuesta arriba porque es a) difícil de implementar para los desarrolladores yb) difícil para que los usuarios se acostumbren al concepto de usar una URL. El patrón de uso de nombre de usuario / contraseña está muy arraigado en este punto.

Dicho esto, eche un vistazo a Clickpass ( www.clickpass.com ). Intentan activamente que OpenID sea más fácil de usar.

Buena suerte.

Aún no.

Necesita soporte de navegador. Los navegadores completarían una excelente experiencia de usuario con OpenID, ya que podrían administrar sus identidades de manera centralizada y hacer las cosas muy simples (parece que el sitio web que está visitando está usando OpenID, ¿desea usar http://yahoo.com? / usuario para iniciar sesión?) y seguro.

Pero en este momento, necesita un esfuerzo significativo para que OpenID sea utilizable. Tal como lo veo, debe proporcionar OpenID como opción o proporcionar su propio proveedor de OpenID a sus usuarios (haciéndolos libres de usar el servicio de un tercero).

Piensa en los clientes. ¿Tu cliente objetivo es un geek? En caso afirmativo, OpenID impresionará a su cliente y ayudará a su sitio. De lo contrario, el trabajo adicional para que no sea amigable para los geeks va a agotar los recursos para entregar el contenido que le interesa a su cliente. Concéntrese en entregar valor a su cliente primero.

El problema con OpenID es que es excelente para cosas como ServerFault donde el nivel de confianza en la identidad de alguien no es realmente una consideración: una vez que empiezas a preocuparte, ahí es donde la vida se complica.

Se complica porque cuando controlo a mi proveedor de autenticación, implícitamente confío en ese proveedor porque lo ejecuto, y presumiblemente lo he implementado según el estándar que necesito. Cuando muevo la autenticación fuera de mi control, ahora también tengo que asignar un nivel de confianza al proveedor de autenticación.

En mi empleador, por ley, no puedo confiar en NINGÚN proveedor importante de OpenID porque:

• No imponen cambios periódicos de contraseña
• No imponen la longitud / complejidad de la contraseña
• No puedo auditar sus prácticas de gestión de sistemas

Esa no es una lista completa de ninguna manera.

Para que OpenID funcione para aplicaciones no triviales, necesito un proveedor de confianza, y debo limitar a mis usuarios a ese proveedor (o proveedores) de confianza. Ese tipo de derrota toda la ventaja de "nombre de usuario / contraseña única". Incluso entonces, es posible que necesite hacer alguna verificación de identidad para los usuarios con niveles de confianza más altos. Me parece mucho trabajo, especialmente cuando administrar su propio proveedor de autenticación no es ciencia espacial.

En mi opinión, los gobiernos tienen el potencial de hacer que esta tecnología funcione. Si un DMV estatal / provincial o la oficina de correos ofrecen un servicio donde los ciudadanos establecen credenciales en línea, accesibles a través de OpenID, podrá confiar en las credenciales de la oficina de correos / DMV. (Porque el gobierno dice: "Confiarás en nosotros") Creo que países como Noruega y Dinamarca ya están emitiendo credenciales PKI individuales.

Para un sitio de redes sociales, OpenID ayudará a atraer a los expertos en tecnología. Sin embargo, si esa es su única opción, asustará a todos los demás. Los usuarios están acostumbrados a registrarse con nuevos inicios de sesión y contraseñas en cada sitio. OpenID es nuevo y extranjero, y puede hacer que los usuarios se pregunten por qué están dando sus credenciales a un tercero. Para un usuario típico, OpenID también podría decir GiveMeYourInformationSoICanSpamYou ... es solo una razón más para que duden de la integridad de su sitio.

En resumen: determine su base de usuarios y raspe OpenID o use OpenID y un sistema de inicio de sesión administrado por la aplicación.

Me pregunto por qué la gente piensa que openID es más seguro. Para los usuarios expertos en tecnología, esto podría aplicarse, pero un usuario común no detectaría la diferencia entre un inicio de sesión de openID real y uno falso que borrará la contraseña.
Peor aún, ellos también sabrán qué cuenta openID asociar con esta contraseña, y probablemente puedan causar mucho más daño que con una simple combinación de nombre de usuario / correo electrónico / contraseña.

openID es una solución técnica para usuarios técnicos, y no muy útil para usuarios comunes. Entonces, para los sitios técnicos puede florecer, pero no veo eso para los sitios comunes en el corto plazo.

Diría que sí, OpenID es mejor que la solución de inicio de sesión habitual desde el punto de vista del usuario , por estos motivos:

• No tengo que recordar otro nombre de usuario y contraseña para su sitio
• Puedo usar una ID de inicio de sesión para varios sitios, si quiero
• Siempre obtengo el mismo nombre de usuario: no agrego números y basura aleatoria al final de las ID de inicio de sesión hasta que obtengo uno gratis
• Se volverá más popular y mejor comprendido por los usuarios a medida que pase el tiempo
• Explicar a los usuarios cómo funciona y los beneficios para ellos es bastante sencillo.
• La mayoría de los usuarios tendrán una cuenta de correo electrónico gratuita de Yahoo o Google que pueden usar como proveedor de OpenID -> probablemente ni siquiera saben que esto es posible.
• Los usuarios aún pueden dar una dirección de correo electrónico diferente a la del proveedor de OpenID (si es una cuenta gratuita de yahoo / gmail / cualquiera) en la que pueden hacer clic en un enlace para confirmar, como copia de seguridad para enviar correos electrónicos de "Olvidé mi contraseña" o otras notificaciones o marketing gumph a.

Recuerde que el hecho de que tenga la opción de OpenID no significa que no pueda dar a los usuarios la opción de respaldo de tener un combo tradicional de nombre de usuario + contraseña en caso de que no quieran usar OpenID o no tengan un proveedor No hay nada de malo en permitir que los usuarios elijan lo que quieran si lo saben, y de lo contrario, usar de manera predeterminada OpenID , imo :)

Open ID es una de esas cosas que amas o detestas la idea. Creo que realmente se reduce a la idea de si ves la centralización de la "autenticidad" con entusiasmo o escepticismo.

En otras palabras, cuando descubres que una cuenta en un sitio de openid está comprometida, ¿piensas, "oh sh! T, ahora estoy potencialmente comprometida en cada sitio para el que uso ese openid" o "oh, bueno, ahora yo solo tengo que cambiar mi contraseña para todos esos sitios en un solo lugar ".

Al trabajar en este campo, terminamos con mucha información de credenciales de inicio de sesión. OpenID me permite usar una cuenta ya establecida para autenticarme sin tener que configurar otra cuenta y contraseña. Con muchos sitios que comienzan a admitir OpenID, hay muchas más opciones en el autenticador de OpenID que utiliza para validar su identidad.

También puede configurar su propio autenticador OpenID en su propio sitio si no desea utilizar uno de los ya existentes. De esta manera, puede mantener un mayor control sobre exactamente qué información se proporciona cuando se autentica.

Creo que tener la opción de crear una cuenta o usar OpenID para autenticar es una gran combinación que cubre tanto a los paranoicos de seguridad como a los que desean la facilidad de uso.

Creo que OpenID es excelente, y lo estamos considerando para nuestro sitio. Sin embargo, necesitaríamos oAuth, y también querríamos el correo electrónico de los usuarios. Lo usamos ampliamente, y una cosa que hacemos es enviar un boletín por correo electrónico. Permitimos la exclusión voluntaria de eso, pero para que nuestro sistema funcione, queremos eso.

Parece que hay un grupo de expertos en tecnología que odian renunciar a un usuario / pwd, y puedo entender eso. Algunos son defensores de la privacidad, y entiendo completamente. Algunos son simplemente vagos, no quieren configurar un usuario / pwd, algunos son solo tomadores. Quieren obtener información de Internet, pero nunca la pagan de ninguna manera, de ninguna manera (publicidad, costo, etc.) Creo que es una minoría de personas, ya que la mayoría de las personas entienden que necesitan contribuir o pagar de alguna manera .

Debe examinar su sitio, qué detalles / información necesita, y luego tomar una decisión sobre si cumple con sus necesidades. Si lo hace, puede agregarlo además del método de inicio de sesión actual. ¿Necesita contactar personas, informarles de cosas, etc.

Tener una forma central de autenticarse es genial, pero hay problemas, como se mencionó, con la falta de cambios / complejidad de la contraseña. Sin embargo, ese es un problema del usuario más que un problema del sitio. Se produce un compromiso a nivel del usuario, que nunca resolveremos. Pero significa que usted, como propietario del sitio, no es responsable si ocurre.

El único problema que veo con OpenID es el siguiente:

Imagine dos sitios afiliados. Ambos permiten el inicio de sesión OpenID. Seguramente pueden compartir las estadísticas de actividad entre ellos, digamos que hago la acción X y la acción Y en el primer sitio y luego, cuando visito el segundo sitio, me bombardean con anuncios dirigidos, de acuerdo con mis actividades en el primer sitio. Por alguna razón, la falta de aislamiento entre los inicios de sesión de OpenID me parece un poco desagradable.

Pero la cuestión es que la máxima comodidad de OpenID (un conjunto de credenciales, con suerte seguro) no se ve eclipsada por el inconveniente mencionado anteriormente. Uso OpenID siempre que puedo, y si fuera a desarrollar un servicio web para uso público, definitivamente lo haría compatible con OpenID (tal vez con una opción de registro convencional).