J'ai vu cette question sur Quora où beaucoup de gens semblent d'accord que OpenID est mauvais, allant même jusqu'à dire que:
OpenID est la pire "solution" possible que j'ai jamais vue de ma vie à un problème que la plupart des gens n'ont pas vraiment
Ensuite, j'ai vu des articles et des tweets faisant référence à cette question disant qu'OpenID a perdu et Facebook a gagné.
C'est triste à lire car j'aime bien l'OpenID (ou du moins l'idée derrière). Je déteste littéralement obtenir un autre login / mot de passe pour la page (je l'oublierai quand même) - c'est un problème assez sérieux pour moi et je connais beaucoup de gens avec le même problème. J'ai donc pensé qu'OpenId était une excellente solution mais je n'en suis plus sûr.
Donc, la question est de savoir si je dois continuer à implémenter OpenID ou ça ne vaut pas le coup? Quelle est la manière la plus robuste et la plus pratique (du point de vue de l'utilisateur) d'identifier et d'authentifier un utilisateur?
la source
Réponses:
Cette discussion revient toujours à cause d'un fait largement ignoré: OpenID n'a jamais été conçu comme protocole de connexion. C'est une mauvaise attribution ultérieure.
OpenID a été conçu comme un service de vérification d'URL de page d'accueil . Et pour cela, c'était réalisable. Mais en raison du manque d'alternatives, il a été rapidement transformé en protocole de connexion général. Certaines fonctionnalités ont été conçues (reg simple, échange d'attributs) pour mieux faciliter cela. Mais à la base, OpenID est un schéma de vérification d'autorité URL.
C'est de là que viennent les erreurs d'utilisation et d'implémentation. L'avantage de la connexion multiple n'a d'importance que pour les utilisateurs techniquement affinés, pas une réelle simplification pour les utilisateurs ordinaires. (Ne me lancez pas sur la robustesse; je viens de récupérer ma connexion Stackoverflow.)
Mais il n'y a toujours pas d'alternative répandue ou techniquement supérieure (il y avait des OpenID antérieurs mais il manquait le mot à la mode et l'adoption du marketing). En tant que fervent partisan de l'open source, je considérerais même le passeport Microsofts ou Cardspace comme quoi que ce soit, mais ce n'est actuellement pas une option.
Revenons à votre question: restez fidèle à OpenID. Pour les utilisateurs ordinaires, les paires nom d'utilisateur / mot de passe oldschool sont possibles et OpenID facultatif. OpenID3 trouve peut-être une adoption généralisée et résout certains des problèmes. Ou peut-être que quelque chose d'autre arrive. L'idée générale derrière le concept était cool.
la source
Vous ne pouvez pas implémenter LES DEUX?
Tout le monde choisit l'option en fonction de ses préférences et de son état de paranoïa.
OpenID offre une grande commodité. Il fournit également un risque de sécurité encore plus massif.
[Risque utilisateur] Et si Facebook / Google / etc. décidez que votre compte a été compromis et que vous devez fournir votre numéro de téléphone ou une copie de passeport pour le réactiver? Souhaitez-vous y aller?
[Risque d'entreprise] Et si Facebook / Google / etc. décidez de fermer leur service ou de commencer à le facturer? Ensuite, en tant que propriétaire de site, vous êtes massivement foutu.
[Espionnage des données] Pourquoi les laisser rassembler les statistiques détaillées de nombreux sites de consommateurs et les aider à construire des profils personnels de personnes? Qui sait ce qu'ils en feront? Le vendre, l'utiliser pour ajuster ses tactiques de marketing, le soumettre à la CIA?
Mec, c'est tellement basique et simple - évitez de dépendre de qui que ce soit et décidez par vous-même quand et si cela vous arrivera.
la source
En fait, je pense que le principal problème avec OpenID n'est pas la mise en œuvre ou sa convivialité est mauvaise. Je ne pense pas non plus que ce soit les problèmes de sécurité avec OpenID, en soi. Je pense que le principal problème est que c'est une solution à la recherche d'un problème - un problème qui, pour la plupart des utilisateurs, n'est vraiment pas énorme de toute façon.
Une meilleure solution au problème d'avoir à se souvenir de nombreux mots de passe, etc. consiste à utiliser une application de gestion de mots de passe. Un gestionnaire de mots de passe simplifiera même le processus d'inscription pour vous, car il remplira automatiquement tous les champs communs (nom, etc.) et générera automatiquement un mot de passe aléatoire. La seule chose que vous aurez à faire, généralement, est de vérifier votre adresse e-mail.
la source
Le problème avec openid, ou plus généralement, avec une sélection de fournisseurs de comptes sur le site Web pour vous connecter à votre site Web, c'est que les utilisateurs ont tendance à oublier le fournisseur qu'ils ont choisi auparavant. Un jour, ils peuvent utiliser Google, le mois prochain, ils peuvent utiliser Facebook et trois mois plus tard, peut-être Twitter. Pour le site Web, il ressemblera à trois utilisateurs différents. Dans un tel cas, les utilisateurs sont frustrés, car ils peuvent se connecter à votre système, mais pas au même compte que précédemment.
la source
Les principaux problèmes avec OpenID, comme je le vois, sont deux:
Sur A, pour un utilisateur, voir un bouton "se connecter avec Facebook" est facile et simple à obtenir. Voir un contrôle avec 10 icônes (Google, Yahoo, AOL, etc.) est déroutant. Encore plus le fait que la "connexion" est une URL, ce que beaucoup de gens ignorent, car tout ce qu'ils font, c'est taper une recherche dans Bing / Google et suivre les liens. Je connais beaucoup de gens que lorsqu'ils vont sur Facebook, ils recherchent Facebook dans Google et cliquent sur le lien, n'essayez pas de leur expliquer le concept de domaine!
Sur B, Facebook est la norme. C'est un peu comme PayPal et les alternatives: pour un commerce électronique, PayPal n'est peut-être pas la meilleure option en termes de prix en raison de ses frais de transaction, mais s'ils n'utilisent pas PayPal, ils risquent de nombreux clients potentiels. À propos de la connexion, c'est la même chose: Facebook ouvre votre site Web à 500 millions d'utilisateurs qui sont des utilisateurs Internet actifs et suffisamment avertis pour probablement obtenir votre site. Honnêtement, pourquoi devriez-vous passer plus de temps à soutenir d'autres choses? Passez ce temps à développer le produit!
En raison de B, A s'aggrave car les utilisateurs s'attendent en quelque sorte à la connexion Facebook, et Open Id les confond davantage.
Et je ne commence pas par les problèmes déjà discutés dans Code Horror à propos de la connexion des utilisateurs sur le même site avec différents comptes Open Id et les problèmes que cela peut soulever ...
Dans l'ensemble, j'aime l'idée sur Open ID, mais (malheureusement?) Facebook l'a fait mieux.
la source