Open ID est-il meilleur que le système LogIn habituel? [fermé]

Nous développons un système Web et envisageons d'utiliser la fonction Open Id. Pensez-vous que c'est mieux que la façon habituelle de se connecter aux utilisateurs? Si nous utilisons la fonctionnalité Open Id, cela signifie que les utilisateurs seront redirigés vers le site de leur choix de fournisseurs Open Id qui prendraient plus d'actions. Ensuite, ils doivent s'y connecter et être redirigés vers notre site. Les utilisateurs seraient-ils à l'aise avec cela?

Remarque: il s'agit plus d'un site de réseautage social mais pas de quelque chose de volumineux.

J'adore OpenID, et c'est absolument mieux que la métaphore "traditionnelle" des informations d'identification par site. Je ne veux pas gérer plus d'informations d'identification et je ne veux pas faire confiance au site J. Random pour stocker les informations d'identification que je fournis en toute sécurité. Je pense que les utilisateurs deviendront plus à l'aise avec elle à mesure qu'elle deviendra plus courante. Espérons que cela devienne plus courant.

Veuillez indiquer si nous nous trompons.

Vues négatives

• Nous pensons que pour les utilisateurs généraux, ce n'est peut-être PAS la meilleure solution.
• Les utilisateurs qui ont moins de connaissances techniques réfléchiraient à deux fois ou seraient confus.
• Ils n'y sont PAS habitués.
• Ils doivent se prévaloir d'un identifiant ouvert d'un certain fournisseur qui pourrait être ennuyeux pour eux.
• Ils pourraient le détester car ils seront redirigés vers un autre site.
• Ils pourraient se tromper!

Vues positives

• C'est digne de confiance car nous ne demandons pas leurs références.
• C'est plus rapide une fois connecté.
• "Surmonte l'épuisement professionnel". Il est très difficile de suivre le nombre de personnes qui sautent un site car elles refusent de conserver un autre nom d'utilisateur / mot de passe. - Kara Mafia

N'oubliez pas que cela ne doit pas nécessairement être une option / / ou. Vous pouvez (et devriez probablement) ajouter le support OpenID en plus des méthodes de connexion traditionnelles. Cela n'effraiera pas les utilisateurs «généraux» - ils utilisent simplement la méthode existante, tout en rendant la vie beaucoup plus agréable pour ceux qui utilisent OpenID.

OpenID offre un certain nombre d'avantages, dont le principal vous permet de devenir paresseux avec l'authentification. L'autorisation est toujours votre problème, mais au moins vous n'avez pas à vous soucier du stockage sécurisé des informations d'identification. C'est une bonne chose à mon avis. Le "net need more" relying parties "comme serverfault.

Si vous vous connectez avec un OpenID, vous n'avez besoin de vous connecter à votre fournisseur qu'une seule fois - la deuxième fois, l'utilisateur ne verra même pas la page du fournisseur.

De plus, RPXnow sera peut-être intéressant.

Personnellement, j'ai franchi la ligne pour aimer OpenID. J'avais l'habitude de lui résister de la paranoïa générale. Maintenant, c'est tout simplement trop pénible dans le a $$ pour que tout reste bien droit. Je suis d'accord que les utilisateurs non technologiques pourraient avoir du mal au début, mais je pense que plus ils se répandent, plus les gens se sentiront à l'aise. Certains sites offrent à la fois un système d'authentification traditionnel (local) et également la possibilité d'utiliser OpenID. Je pense que l'éducation va beaucoup aider ici, donc si vous expliquez clairement ce qu'est OpenID et ses avantages, cela contribuera grandement à l'acceptation.

En tant que technologie SSO (Single Sign On), elle est ouverte aux risques généraux de tout SSO. De ce point de vue, je ne suis pas encore prêt à y intégrer ma banque ou mes sites médicaux :) Pas que ce soit de toute façon offert par eux ...

Je vais ajouter cela avec OpenID, vous voulez généralement OAuth qui obtient une pression criminelle faible.

D'autres ont suffisamment élaboré sur OpenID, OAuth ajoute à l'ensemble qu'un autre site sait non seulement qui vous êtes via votre fournisseur OpenID, mais vous pouvez également dire ce que le site en question est autorisé à savoir sur vous.

• a besoin d'un e-mail pour les détails de l'utilisateur
• a besoin du prénom / nom pour les détails de l'utilisateur
• a besoin du pays

peut être très bien. Qu'en est-il de ceux-ci:

• numéro de sécurité sociale
• Numéro de Carte de Crédit
• numéro de téléphone
• adresse postale

Alors OpenID + OAuth est une grande combinaison, en utilisant à la fois non seulement vous avez un seul endroit pour garder un nom d' utilisateur et mot de passe , mais aussi où vous conservez les détails sur vous - même et ne pas aperçu sur les lose quel site a accès à quels détails vous concernant.

Je peux penser à un scénario où OpenID gagnera de nombreux utilisateurs sur place. Supposons qu'un site majeur perd des millions de mots de passe d'utilisateurs à des pirates malveillants [*], et la liste fuit. La plupart des utilisateurs seront paniqués, non seulement à cause du compte spécifique, mais parce qu'ils utilisent le même identifiant / mot de passe pour plusieurs sites. Et ils le font. Je sais, oui. Et je ne garde aucune trace de ces comptes, donc le résultat est que je ne pourrai jamais changer mes mots de passe .

Maintenant, quand je sais qu'un méchant peut voler mes comptes, que vais-je faire? Je vais essayer de passer à travers cette tâche écrasante de changer les mots de passe. Ou je vais tomber sur le concept OpenID et essayer de convertir tous ces comptes à l'occasion. Cela signifierait que j'ai toujours un seul identifiant / mot de passe pour plusieurs sites, mais maintenant je peux au moins facilement changer le mot de passe dans chacun d'eux . Et dans le cas où des pirates malveillants volent mon OpenID, j'ai un seul problème pour demander la réinitialisation du mot de passe ou au moins pour désactiver le compte.

[*] - lire: script kiddies

Plus je visite divers sites Web, plus je veux une fonction de connexion unique.

Chaque site Web pense que le leur est le plus important. Chaque site Web insiste pour que vous créiez un compte avant de pouvoir faire quoi que ce soit. StackOverflow, Serverfault, Wikipedia, WowWiki, Wowhead, MS Forums, CodeProject, CodePlex, et ainsi de suite, ...

Ils exigent tous que je crée, sélectionne un nom d'utilisateur unique, un mot de passe et fourche mon adresse e-mail. Ensuite, ils insistent pour que je vérifie mes e-mails avant de me laisser poster, éditer, télécharger, cliquer, commenter, noter, etc. Il n'y a aucune raison de ne pas me laisser utiliser votre site dès que j'y pénètre.

je veux juste qu'ils se taisent tous. je veux une connexion unique que je peux utiliser partout, avec une adresse e-mail qui est un trou noir, donc je n'ai jamais à lire leurs ordures.

OpenID semble être cela. Mais cela n'a été possible que lorsque Google l'a soutenu. Avant cela, c'était le propre système de connexion propritary de StackOverflow - qu'ils étaient trop paresseux pour s'héberger. Maintenant que Google prend en charge OpenID, il est en fait concevable que tout le monde l'ait déjà.

Ces jours-ci, je déteste devoir créer des comptes sur des sites Web et maudire les opérateurs qui pensent que je devrais d'abord créer un compte.

Ne me faites pas détester votre site aussi.

Il y a des avantages à utiliser openId des deux côtés: 1. Les développeurs n'ont pas besoin d'implémenter le système de connexion (base de données, traitement client, sécurité des applications, etc.) 2. Les utilisateurs n'ont pas besoin de se souvenir d'un ensemble supplémentaire d'informations d'identification.

D'un autre côté, vous pourriez effrayer certains des utilisateurs qui ne sont pas vraiment férus d'ordinateurs et seront réticents à révéler leurs identifiants google pour se connecter à votre site.

La meilleure solution serait un système hibrid permettant à la fois OpenID et l'enregistrement sur site, mais cela ruinerait vraiment le premier avantage que j'ai mentionné.

L'autre chose qu'OpenID offre à vos utilisateurs est la possibilité d'utiliser des informations d'identification plus solides. Je vois une certaine inquiétude concernant le phishing dans les réponses ici, mais vous pouvez choisir un fournisseur OpenID qui n'utilise pas du tout les informations d'identification phishable / rejouables. Les certificats SSL ou les cartes d'information, par exemple, sont pris en charge par certains fournisseurs. myOpenID a une chose où il vous oblige à répondre à un appel téléphonique avant de pouvoir vous connecter. Je suis presque sûr qu'il existe d'autres sites qui utilisent des jetons matériels.

Oui, la plupart de vos utilisateurs cliqueront probablement sur le bouton Yahoo et ne l'utiliseront pas. Mais cela leur donne le choix, et vous n'avez pas à vous soucier des détails de mise en œuvre. Je prétends qu'il est plus facile d'ajouter la prise en charge OpenID à votre site que de prendre en charge les certificats SSL de manière multi-navigateur. Et c'est certainement plus facile que de prendre en charge tous les certificats SSL, les cartes d'information, la vérification du téléphone, la vérification des jetons, le DDRpass, l'authentification par stéréogramme à points aléatoires ou toute autre chose farfelue à laquelle ils pensent ensuite.

Je n'essaye pas de changer d'avis. Veuillez considérer ces faits. OpenID n'est que deux choses différentes du système d'authentification utilisateur + mot de passe:

• l'endroit où se produit votre authentification. Si vous avez utilisé nom + mot de passe auparavant, OpenID change l'endroit où le mot de passe est vérifié. Si vous avez utilisé un certificat auparavant, OpenID change l'endroit où le certificat est vérifié.
• L'URL OpenID est unique à l'ensemble du WWW (sans tenir compte des DNS racine alternatifs)

Ce que j'essaie de souligner, c'est que rien de plus n'est changé:

• OpenID ne remplace pas la procédure d'enregistrement (mais il peut simplifier l'enregistrement via l'extension sREG)
• ce n'est pas moins sûr. Si quelqu'un a déjà utilisé des mots de passe courts, il les réutilisera.
• cela ne signifie pas que vous ne pouvez pas avoir des centaines d'identifiants différents pour chaque site Web pour les personnes paranoïaques.
• cela n'implique pas " OMG c'est la technologie geek, fuyez !! ". Non, vous pouvez créer de beaux boutons brillants comme le groupe de sites StackOverflow l'a fait pour les fournisseurs OpenID courants. C'est beaucoup plus convivial.
• cela n'implique pas de redirection. Vous pouvez effectuer l'authentification dans iframe ou dans une fenêtre de navigateur distincte.

C'est comme avec toute autre technologie. La plupart des choses dont les gens en parlent sont des mythes parce qu'ils n'ont pas pris le temps de l'étudier ou parce qu'ils ont utilisé une mauvaise mise en œuvre.

OpenID est plus compliqué et vous rend dépendant des autres fournisseurs qui ne descendent pas.

L'un des problèmes que StackOverflow a avec cela, c'est que si vous vous connectez avec un OpenId différent de celui que vous utilisez habituellement, vous perdez vos notes et badges (peut-être qu'ils ont corrigé cela maintenant, je n'ai pas entendu). Il y a eu une fois où je n'ai pas pu me connecter pendant une heure parce que mon fournisseur était en panne.

Je déteste openID et c'était la principale raison de NE PAS s'inscrire à serverfault / stackoverflow Qu'en est-il de la confidentialité des utilisateurs? Certains utilisateurs, comme moi, sont extrêmement paranoïaques et n'aiment pas mélanger les informations facebook / yahoo / google entre divers sites Web

OpenID, tout en étant sympa, fait face à l'OMI dans une bataille difficile, car il est a) difficile pour les développeurs de l'implémenter et b) difficile pour les utilisateurs de s'habituer au concept d'utilisation d'une URL. Le modèle d'utilisation du nom d'utilisateur / mot de passe est assez étroitement ancré à ce stade.

Cela dit, jetez un œil à Clickpass ( www.clickpass.com ). Ils essaient activement de rendre OpenID plus facile à utiliser.

Bonne chance.

Pas encore.

Il a besoin du support du navigateur. Les navigateurs compléteraient une excellente expérience utilisateur avec OpenID, car ils pourraient gérer vos identités de manière centralisée et simplifier les choses (il semble que le site Web que vous visitez utilise OpenID, voulez-vous utiliser http://yahoo.com / utilisateur pour se connecter?) et sécurisé.

Mais en ce moment, vous avez besoin d'un effort important pour rendre OpenID utilisable. À mon avis, vous devez soit fournir OpenID en option, soit fournir votre propre fournisseur OpenID à vos utilisateurs (ce qui les rend libres d'utiliser le service d'un tiers).

Pensez aux clients. Votre client cible est-il un geek? Si oui, OpenID impressionnera votre client et aidera votre site. Sinon, le travail supplémentaire pour le rendre non-geek va drainer les ressources de la fourniture de contenu qui tient à cœur à votre client. Concentrez-vous d'abord sur la création de valeur pour votre client.

Le problème avec OpenID est qu'il est idéal pour des choses comme ServerFault où le niveau de confiance dans l'identité de quelqu'un n'est pas vraiment une considération - une fois que vous commencez à vous soucier, c'est là que la vie se complique.

Cela se complique, car lorsque je contrôle mon fournisseur d'authentification, je fais implicitement confiance à ce fournisseur parce que je l'exécute et je l'ai probablement implémenté selon la norme dont j'ai besoin. Lorsque je déplace l'authentification hors de mon contrôle, je dois désormais également attribuer un niveau de confiance au fournisseur d'authentification.

Chez mon employeur, en vertu de la loi, je ne peux faire confiance à AUCUN important fournisseur OpenID parce que:

• Ils n'appliquent pas les changements de mot de passe périodiques
• Ils n'appliquent pas la longueur / complexité du mot de passe
• Je ne peux pas auditer leurs pratiques de gestion des systèmes

Ce n'est en aucun cas une liste complète.

Pour que OpenID fonctionne pour les applications non triviales, j'ai besoin d'un fournisseur de confiance - et je dois limiter mes utilisateurs à ce ou ces fournisseurs de confiance. Ce type de système défait tout l'avantage du "nom d'utilisateur / mot de passe unique". Même dans ce cas, il se peut que je doive encore effectuer une vérification d'identité pour les utilisateurs à des niveaux de confiance plus élevés. Cela me semble beaucoup de travail, surtout lorsque la gestion de votre propre fournisseur d'authentification n'est pas sorcière.

OMI, les gouvernements ont le potentiel de faire fonctionner cette technologie. Si un DMV d'État / provincial ou le bureau de poste offraient un service où les citoyens établissent des informations d'identification en ligne, accessibles via OpenID, vous seriez en mesure de faire confiance aux informations d'identification du bureau de poste / DMV. (Parce que le gouvernement dit: «Tu nous feras confiance») Je pense que des pays comme la Norvège et le Danemark délivrent déjà des informations d'identification PKI individuelles.

Pour un site de réseautage social, OpenID aidera à attirer les amateurs de technologie. Cependant, si c'est votre seule option, cela effraiera tout le monde. Les utilisateurs sont habitués à s'inscrire avec de nouveaux identifiants et mots de passe sur chaque site. OpenID est nouveau et étranger, et peut amener les utilisateurs à se demander pourquoi ils donnent leurs informations d'identification à un tiers. Pour un utilisateur typique, OpenID pourrait tout aussi bien dire GiveMeYourInformationSoICanSpamYou ... c'est juste une raison de plus pour douter de l'intégrité de votre site.

En bref - déterminez votre base d'utilisateurs, et grattez OpenID ou utilisez à la fois OpenID et un système de connexion géré par l'application.

Je me demande pourquoi les gens pensent qu'OpenID est plus sûr. Pour les utilisateurs avertis de la technologie, cela pourrait s'appliquer, mais un utilisateur commun ne verrait pas la différence entre une véritable connexion openID et une fausse connexion qui gratterait le mot de passe.
Pire encore, ils sauront également quel compte openID associer à ce mot de passe, et peuvent probablement causer beaucoup plus de dégâts qu'avec une simple combinaison nom d'utilisateur / e-mail / mot de passe.

openID est une solution technique pour les utilisateurs techniques, et pas très utile pour les utilisateurs ordinaires. Donc, pour les sites techniques, cela pourrait fleurir, mais je ne vois pas cela pour les sites ordinaires de si tôt.

Je dirais que oui, OpenID est meilleur que la solution de connexion habituelle du point de vue de l'utilisateur , pour ces raisons:

• Je n'ai pas besoin de me souvenir d'un autre nom d'utilisateur et mot de passe pour votre site
• Je peux utiliser un identifiant de connexion pour plusieurs sites, si je le souhaite
• J'ai toujours le même nom d'utilisateur - pas d'ajout de numéros et de conneries aléatoires à la fin des identifiants de connexion jusqu'à ce que j'en obtienne un gratuitement
• Il deviendra plus populaire et mieux compris par les utilisateurs au fil du temps
• Expliquer aux utilisateurs comment cela fonctionne et les avantages pour eux est assez simple
• La plupart des utilisateurs auront un compte de messagerie gratuit de Yahoo ou Google qu'ils peuvent utiliser en tant que fournisseur OpenID -> ils ne savent probablement même pas que c'est possible.
• Les utilisateurs peuvent toujours donner une adresse e-mail différente à celle du fournisseur OpenID (s'il s'agit d'un compte gratuit yahoo / gmail / quel que soit le compte) que vous pouvez leur demander de cliquer sur un lien pour confirmer, en tant que sauvegarde pour l'envoi d'e-mails "mot de passe oublié" ou autres notifications ou marketing gumph à.

N'oubliez pas que ce n'est pas parce que vous avez la possibilité d'OpenID que vous ne pouvez pas également donner aux utilisateurs l'option de sauvegarde d'avoir un combo traditionnel nom d'utilisateur + mot de passe au cas où ils ne voudraient pas utiliser OpenID ou n'en auraient pas un fournisseur. Il n'y a rien de mal à laisser les utilisateurs choisir ce qu'ils veulent s'ils le savent, et par défaut à OpenID , imo :)

Open ID est l'une de ces choses que vous aimez ou que vous détestez l'idée - je pense que cela se résume vraiment à l'idée de savoir si vous envisagez la centralisation de «l'authenticité» avec enthousiasme ou avec scepticisme.

En d'autres termes, lorsque vous découvrez qu'un compte sur un site openid est compromis, pensez-vous, "oh sh! T, maintenant je suis potentiellement compromis sur chaque site pour lequel j'utilise cet openid", ou "oh bon, maintenant je il suffit de changer mon mot de passe pour tous ces sites en un seul endroit. "

En travaillant dans ce domaine, nous nous retrouvons avec de nombreuses informations d'identification différentes. OpenID me permet d'utiliser un compte déjà établi pour m'authentifier sans avoir à configurer encore un autre compte et mot de passe. Avec de nombreux sites qui commencent à prendre en charge OpenID, il y a beaucoup plus de choix dans quel authentificateur OpenID vous utilisez pour valider votre identité.

Vous pouvez également configurer votre propre authentificateur OpenID sur votre propre site si vous ne souhaitez pas utiliser l'un des déjà existants. De cette façon, vous pouvez garder plus de contrôle sur exactement quelles informations sont données lorsque vous en êtes authentifié.

Je pense qu'avoir la possibilité de créer un compte ou d'utiliser OpenID pour s'authentifier est une excellente combinaison qui couvre à la fois les paranoïaques de sécurité et ceux qui veulent la facilité d'utilisation.

Je pense que OpenID est génial, et nous l'envisageons pour notre site. Cependant, nous aurions besoin d'oAuth, et nous souhaiterions également recevoir l'e-mail des utilisateurs. Nous l'utilisons beaucoup, et une chose que nous faisons est d'envoyer un bulletin d'information par courrier électronique. Nous autorisons la désactivation de cela, mais pour que notre système fonctionne, nous le voudrions.

Il semble qu'il y ait un noyau dur de techniciens qui détestent abandonner un utilisateur / pwd, et je peux le comprendre. Certains sont des défenseurs de la vie privée, et je comprends parfaitement. Certains sont juste paresseux, ne veulent pas configurer un utilisateur / pwd, certains ne sont que des preneurs. Ils veulent obtenir des informations sur Internet, mais ne les paient jamais de quelque façon que ce soit (publicité, coût, etc.) Je pense que c'est une minorité de personnes car la plupart des gens comprennent qu'ils doivent contribuer ou payer d'une manière .

Vous devez examiner votre site, les détails / informations dont vous avez besoin, puis prendre une décision pour savoir s'il répond à vos besoins. Si c'est le cas, vous pouvez l'ajouter en plus de la méthode de connexion actuelle. Avez-vous besoin de contacter des personnes, de les informer de certaines choses, etc.

Avoir un moyen central de s'authentifier est génial, mais il y a des problèmes, comme mentionné, avec un manque de changements / complexité de mot de passe. Cependant, c'est un problème d'utilisateur plus qu'un problème de site. Un compromis a lieu au niveau de l'utilisateur, que nous ne résoudrons jamais. Mais cela signifie que vous, en tant que propriétaire du site, n'êtes pas responsable si cela se produit.

Le seul problème que je vois avec OpenID est le suivant:

Imaginez deux sites affiliés. Les deux autorisent la connexion OpenID. Ils peuvent sûrement partager les statistiques d'activité entre eux - disons que je fais l'action X et l'action Y sur le premier site, puis, lorsque je visite le deuxième site, je suis bombardé de publicités ciblées, selon mes activités sur le premier site. Pour une raison quelconque, le manque d'isolement entre les connexions OpenID me semble un peu désagréable.

Mais le fait est que la commodité ultime d'OpenID (un ensemble d'informations d'identification, espérons-le, sécurisé) ne soit pas éclipsée par l'inconvénient susmentionné. J'utilise OpenID partout où je peux, et si je devais développer un service Web pour un usage public, je le ferais certainement supporter OpenID (peut-être avec une option d'enregistrement conventionnelle).