OpenID est-il vraiment si mauvais?

31

J'ai vu cette question sur Quora où beaucoup de gens semblent d'accord que OpenID est mauvais, allant même jusqu'à dire que:

OpenID est la pire "solution" possible que j'ai jamais vue de ma vie à un problème que la plupart des gens n'ont pas vraiment

Ensuite, j'ai vu des articles et des tweets faisant référence à cette question disant qu'OpenID a perdu et Facebook a gagné.

C'est triste à lire car j'aime bien l'OpenID (ou du moins l'idée derrière). Je déteste littéralement obtenir un autre login / mot de passe pour la page (je l'oublierai quand même) - c'est un problème assez sérieux pour moi et je connais beaucoup de gens avec le même problème. J'ai donc pensé qu'OpenId était une excellente solution mais je n'en suis plus sûr.

Donc, la question est de savoir si je dois continuer à implémenter OpenID ou ça ne vaut pas le coup? Quelle est la manière la plus robuste et la plus pratique (du point de vue de l'utilisateur) d'identifier et d'authentifier un utilisateur?

DoPPler
la source
7
OpenID a ses défauts, mais comme je n'ai rien entendu de mieux pour le remplacer, je ne dirais pas qu'il a perdu. Facebook n'est pas une alternative à OpenID, car il est centralisé et beaucoup de gens ne veulent tout simplement pas avoir un compte facebook. Cela en vaut-il la peine? À mon avis subjectif, c'est le cas.

Réponses:

13

Cette discussion revient toujours à cause d'un fait largement ignoré: OpenID n'a jamais été conçu comme protocole de connexion. C'est une mauvaise attribution ultérieure.

OpenID a été conçu comme un service de vérification d'URL de page d'accueil . Et pour cela, c'était réalisable. Mais en raison du manque d'alternatives, il a été rapidement transformé en protocole de connexion général. Certaines fonctionnalités ont été conçues (reg simple, échange d'attributs) pour mieux faciliter cela. Mais à la base, OpenID est un schéma de vérification d'autorité URL.

C'est de là que viennent les erreurs d'utilisation et d'implémentation. L'avantage de la connexion multiple n'a d'importance que pour les utilisateurs techniquement affinés, pas une réelle simplification pour les utilisateurs ordinaires. (Ne me lancez pas sur la robustesse; je viens de récupérer ma connexion Stackoverflow.)
Mais il n'y a toujours pas d'alternative répandue ou techniquement supérieure (il y avait des OpenID antérieurs mais il manquait le mot à la mode et l'adoption du marketing). En tant que fervent partisan de l'open source, je considérerais même le passeport Microsofts ou Cardspace comme quoi que ce soit, mais ce n'est actuellement pas une option.

Revenons à votre question: restez fidèle à OpenID. Pour les utilisateurs ordinaires, les paires nom d'utilisateur / mot de passe oldschool sont possibles et OpenID facultatif. OpenID3 trouve peut-être une adoption généralisée et résout certains des problèmes. Ou peut-être que quelque chose d'autre arrive. L'idée générale derrière le concept était cool.

Mario
la source
C'est un fait intéressant, je ne le savais pas. Merci pour votre réponse Comme je l'ai mentionné précédemment, j'ai peur que l'implémentation de `` tout '' (selon mon commentaire sur @DeveloperArt post) effraie et / ou déroute les utilisateurs mais peut-être que je me trompe et si c'est bien fait, c'est le meilleure solution?
DoPPler
11

Vous ne pouvez pas implémenter LES DEUX?

Tout le monde choisit l'option en fonction de ses préférences et de son état de paranoïa.

OpenID offre une grande commodité. Il fournit également un risque de sécurité encore plus massif.

[Risque utilisateur] Et si Facebook / Google / etc. décidez que votre compte a été compromis et que vous devez fournir votre numéro de téléphone ou une copie de passeport pour le réactiver? Souhaitez-vous y aller?

[Risque d'entreprise] Et si Facebook / Google / etc. décidez de fermer leur service ou de commencer à le facturer? Ensuite, en tant que propriétaire de site, vous êtes massivement foutu.

[Espionnage des données] Pourquoi les laisser rassembler les statistiques détaillées de nombreux sites de consommateurs et les aider à construire des profils personnels de personnes? Qui sait ce qu'ils en feront? Le vendre, l'utiliser pour ajuster ses tactiques de marketing, le soumettre à la CIA?

Mec, c'est tellement basique et simple - évitez de dépendre de qui que ce soit et décidez par vous-même quand et si cela vous arrivera.


la source
Je pourrais aller implémenter les deux, c'est vrai. Je pourrais ajouter la prise en charge de n'importe quel fournisseur OpenID via URL, puis répertorier 3-4 les plus populaires, puis ajouter la prise en charge OAuth pour Facebook et Twitter, puis ajouter mon ancien (bon?) Login / mot de passe / enregistrement par e-mail / formulaire de connexion pour les utilisateurs qui ne me dérange pas encore un autre mot de passe. Le problème est que je ne veux pas effrayer mes utilisateurs - je veux juste qu'ils puissent se connecter rapidement. Quant aux risques de sécurité mentionnés - sont-ils vraiment si massifs ?
DoPPler
La probabilité de leur apparition n'est pas énorme, mais si elles se produisent, leurs conséquences seront énormes.
4
Quoi qu'il en soit, gardez à l'esprit que de nombreuses personnes n'ont pas de compte Facebook et ne le créeront pas. Il n'est pas sage de leur refuser l'accès.
Beaucoup de bons points ici @Developer Art sur le fait de ne pas dépendre d'un seul fournisseur, pour les entreprises et pour un individu. Les systèmes de commentaires Disqus et Wordpress ont réalisé qu'ils offrent aux administrateurs (et aux utilisateurs) un choix d'OpenID, Yahoo, Google, Facebook, Twitter, peut-être plus. Et offrez la possibilité d'associer des identifiants mais n'en avez pas besoin. 2ème bon point: évitez de laisser une entité agréger vos informations! Tellement vrai. Cela peut arriver de toute façon. Pourquoi rendre cela plus facile en utilisant le même fournisseur à chaque fois? Aussi: tout Facebook, UNIQUEMENT le monde Facebook n'est PAS la solution! J'aimerais pouvoir vous donner plus de votes positifs.
Ellie Kesselman
Vos arguments contre OpenID sont en fait des arguments pour OpenID! N'importe qui peut lancer sa propre autorité OpenID. Je n'ai pas à créer de compte Google ou Facebook pour me connecter à un site qui utilise OpenID. Maintenant que Google a débranché OpenID pour promouvoir son service Google+, d'autres le feront probablement aussi et nous avons perdu la bataille pour une norme vraiment ouverte de connexion aux sites.
Brad
5

En fait, je pense que le principal problème avec OpenID n'est pas la mise en œuvre ou sa convivialité est mauvaise. Je ne pense pas non plus que ce soit les problèmes de sécurité avec OpenID, en soi. Je pense que le principal problème est que c'est une solution à la recherche d'un problème - un problème qui, pour la plupart des utilisateurs, n'est vraiment pas énorme de toute façon.

Une meilleure solution au problème d'avoir à se souvenir de nombreux mots de passe, etc. consiste à utiliser une application de gestion de mots de passe. Un gestionnaire de mots de passe simplifiera même le processus d'inscription pour vous, car il remplira automatiquement tous les champs communs (nom, etc.) et générera automatiquement un mot de passe aléatoire. La seule chose que vous aurez à faire, généralement, est de vérifier votre adresse e-mail.

Dean Harding
la source
C'est très proche de ce que l'opinion générale chez Quora semble être, mais j'ai entendu à maintes reprises de la part de mes amis techniques et moins techniques qu'ils ont un problème avec le suivi de plusieurs mots de passe, donc je ne pense pas c'est un problème qui "n'existe pas" (cependant il pourrait être moins gênant que j'en fais). Certes, l'utilisation d'un gestionnaire de mots de passe est une solution (non sans défauts propres), mais je suis à la recherche d'une technologie que je pourrais mettre en œuvre afin d'aider mes visiteurs à obtenir une meilleure expérience de chant.
DoPPler
1

Le problème avec openid, ou plus généralement, avec une sélection de fournisseurs de comptes sur le site Web pour vous connecter à votre site Web, c'est que les utilisateurs ont tendance à oublier le fournisseur qu'ils ont choisi auparavant. Un jour, ils peuvent utiliser Google, le mois prochain, ils peuvent utiliser Facebook et trois mois plus tard, peut-être Twitter. Pour le site Web, il ressemblera à trois utilisateurs différents. Dans un tel cas, les utilisateurs sont frustrés, car ils peuvent se connecter à votre système, mais pas au même compte que précédemment.

Marcin
la source
1
En êtes-vous certain? Je me suis demandé la même chose dès que j'ai entendu parler d'OpenID pour la première fois. J'ai essayé de me tester, voir si ce que vous avez décrit est vrai. Parfois, comme à StackExchange, avec leur implémentation d'OpenID. Mais d'autres sites Web font correctement l'association aux connexions précédentes, ou demandent si j'avais un compte antérieur, et indiquent le fournisseur OpenID précédent de manière générale. Peut-être que c'est à cause d'une connexion OpenID-OAuth combinée? Je ne sais pas. Mais je suis d'accord avec vous, les utilisateurs oublient quel fournisseur ils ont choisi avant! C'est un vrai problème.
Ellie Kesselman
0

Les principaux problèmes avec OpenID, comme je le vois, sont deux:

  • A) Ce n'est pas convivial pour les gars non techniques
  • B) Ce n'est pas aussi largement utilisé que les alternatives

Sur A, pour un utilisateur, voir un bouton "se connecter avec Facebook" est facile et simple à obtenir. Voir un contrôle avec 10 icônes (Google, Yahoo, AOL, etc.) est déroutant. Encore plus le fait que la "connexion" est une URL, ce que beaucoup de gens ignorent, car tout ce qu'ils font, c'est taper une recherche dans Bing / Google et suivre les liens. Je connais beaucoup de gens que lorsqu'ils vont sur Facebook, ils recherchent Facebook dans Google et cliquent sur le lien, n'essayez pas de leur expliquer le concept de domaine!

Sur B, Facebook est la norme. C'est un peu comme PayPal et les alternatives: pour un commerce électronique, PayPal n'est peut-être pas la meilleure option en termes de prix en raison de ses frais de transaction, mais s'ils n'utilisent pas PayPal, ils risquent de nombreux clients potentiels. À propos de la connexion, c'est la même chose: Facebook ouvre votre site Web à 500 millions d'utilisateurs qui sont des utilisateurs Internet actifs et suffisamment avertis pour probablement obtenir votre site. Honnêtement, pourquoi devriez-vous passer plus de temps à soutenir d'autres choses? Passez ce temps à développer le produit!

En raison de B, A s'aggrave car les utilisateurs s'attendent en quelque sorte à la connexion Facebook, et Open Id les confond davantage.

Et je ne commence pas par les problèmes déjà discutés dans Code Horror à propos de la connexion des utilisateurs sur le même site avec différents comptes Open Id et les problèmes que cela peut soulever ...

Dans l'ensemble, j'aime l'idée sur Open ID, mais (malheureusement?) Facebook l'a fait mieux.

Père Villega
la source
4
J'ai vu de nombreuses implémentations qui sont en effet mauvaises. Mais l'implémentation ici sur Stack Exchange est, à mon avis, assez bonne. Vous pourriez probablement aller plus loin et rendre l'expérience très similaire à l'expérience de connexion avec Facebook (Google et Yahoo prennent également en charge une sorte d'hybride OAuth ou OpenID / OAuth). Je suis totalement d'accord avec le fait que voir plusieurs fournisseurs peut être trompeur et provoquer des problèmes supplémentaires, mais d'un autre côté, cela donne à votre utilisateur la plus grande flexibilité (je connais également des gens qui n'utilisent pas Facebook).
DoPPler
Le fait que je doive me connecter chaque fois que je me rends dans une branche différente de SE me donne l'impression que la mise en œuvre est médiocre. FFS, si j'ai utilisé mon OpenID pour m'inscrire à SO et Prog, pourquoi diable dois-je me connecter aux deux lors de la même visite? C'est du progrès?!?
Drew