Frage Ist Open ID besser als das übliche LogIn-System? [geschlossen]


Wir entwickeln ein Web-System und erwägen die Verwendung der Open-ID-Funktion. Denkst du, es ist besser als die übliche Art, Benutzer einzuloggen? Wenn wir die Open-ID-Funktion verwenden, bedeutet dies, dass die Nutzer auf die Seite ihrer Wahl von Open-Id-Anbietern umgeleitet werden, die mehr Maßnahmen ergreifen würden. Dann müssen sie sich dort einloggen und auf unsere Seite weitergeleitet werden. Wären die Nutzer damit einverstanden?

Hinweis: Es ist eher eine Social-Networking-Site, aber nichts sperriges.


23
2018-06-10 15:42


Ursprung


Das ist völlig subjektiv. - Bill Weiss
Die Antworten hier sind nicht allgemein anwendbar für den Aufbau von Enterprise Apps, wo Unternehmen bereits ein eigenes Verzeichnis haben. In diesen Fällen sollten Sie in Erwägung ziehen, Ihr eigenes Verzeichnis mit WS-Trust oder über das Open ID-Protokoll zu verbinden - random65537


Antworten:


Ich liebe OpenID, und es ist absolut besser als die "traditionelle" pro-Site Anmeldeinformationen Metapher. Ich möchte nicht, dass weitere Anmeldeinformationen verwaltet werden, und ich möchte J. Random nicht vertrauen, dass die von mir bereitgestellten Anmeldeinformationen sicher gespeichert werden. Ich denke, dass die Benutzer damit vertrauter werden werden, da es immer alltäglicher wird. Hoffentlich wird es alltäglicher.


27
2018-06-10 15:46



Also, für jetzt ist es nicht? - DragonBorn
Es ist nicht was? Alltäglich? Ich habe nicht viele Seiten gesehen, die es benutzen, aber ich hoffe, dass es mehr wird. Ich hoffe, dass es von den Nutzern akzeptiert und akzeptiert wird. Im Moment habe ich keinen Sinn, ob der durchschnittliche Endbenutzer OpenID "trsuts" oder nicht. Ich habe das Gefühl, dass es der überwiegenden Mehrheit egal ist und alles durchklicken wird, um zu sehen, was sie sehen wollen ... - Evan Anderson
Ich würde sagen, das Problem ist nicht Vertrauen, sondern eher, dass der "durchschnittliche" Endbenutzer höchstwahrscheinlich noch nie von OpenID gehört hat. - dbr
Ich denke "Vertrauen" ist die Lösung. Um OpenID an Benutzer "verkaufen" zu können, müssen wir ihnen aktiv sagen: "Wir lassen Google / Yahoo / etc damit umgehen, Sie zu authentifizieren und Ihren Benutzernamen / Passwort nicht auf unseren Servern zu speichern ..." Es ist ein positives Denken - wegnehmen und Fachjargon und beziehen es einfach als das Gute, was es ist. - Evan Anderson
@ Jim B: Ich vertraue dem Hersteller der J. Random App, dass er meine Daten gut genug speichert (und wenn nicht, werde ich Kopien davon selbst speichern). Authentifizierung ist ein schwierigeres Problem, IMO, und ich würde lieber die "großen Jungs" machen. Allerdings weiß ich nicht, dass OpenID für jede Art von Anwendung geeignet ist. Für Anmeldungen an "zufälligen" Sites, wie Server Fault, Forum-Sites, usw., ist mir damit nichts passiert. Wenn ich geschäftlich tätig bin, wäre ich bei OpenID ein schwerer Verkauf. - Evan Anderson


Bitte weisen Sie darauf hin, wenn wir falsch liegen.

Negative Ansichten

  • Wir denken, dass dies für allgemeine Benutzer NICHT der beste Weg ist.
  • Benutzer mit weniger technischem Wissen würden zweimal überlegen oder verwirrt werden.
  • Sie sind daran nicht gewöhnt.
  • Sie müssen eine offene ID von einem bestimmten Anbieter in Anspruch nehmen, die für sie lästig sein könnte.
  • Sie könnten es hassen, weil sie auf eine andere Seite weitergeleitet werden.
  • Sie könnten es falsch verstehen!

Positive Ansichten

  • Es ist vertrauenswürdig, weil wir nicht nach ihren Anmeldeinformationen fragen.
  • Es ist schneller, sobald Sie eingeloggt sind.
  • "Überwindet den Burnout der Anmeldeinformationen". Es ist sehr schwer nachzuverfolgen, wie viele Personen eine Website überspringen, weil sie sich weigern, einen weiteren Benutzernamen / ein anderes Passwort zu führen. - Kara Mafia

16
2018-06-10 15:56



Zu den Profis würde ich hinzufügen, dass "Credential Burnout" überwunden wird. Es ist sehr schwer nachzuverfolgen, wie viele Personen eine Website überspringen, weil sie sich weigern, einen weiteren Benutzernamen / ein anderes Passwort zu führen. Ich weiß, dass ich da bin. - Kara Marfia
Sehr richtig... :) - DragonBorn
Ich denke OpenID erlauben. Lass mich nicht durch die Ringe springen, um deine Seite zu benutzen. Wenn Sie darauf bestehen, dass ich Ihnen einen Benutzernamen / Passwort / E-Mail gebe, werde ich nur weitermachen. Gib mir OpenID und ich werde es mir zumindest anschauen. - Ian Boyd
Ich wünschte, ich könnte dies zweimal abstimmen, eines Tages könnte etwas wie openid nützlich sein, aber im Moment ist es nur ein weiteres PITA für die Benutzer. - Jim B
Jim: Ich glaube es. :) - DragonBorn


Vergiss nicht, dass es keine Option sein muss. Sie können (und sollten wahrscheinlich) die OpenID-Unterstützung zusätzlich zu den herkömmlichen Anmeldeverfahren hinzufügen. Dies wird nicht "allgemeine" Benutzer verscheuchen - sie benutzen nur die existierende Methode, während sie das Leben für diejenigen, die OpenID benutzen, viel angenehmer machen.


10
2018-06-10 16:31





OpenID bietet eine Reihe von Vorteilen, vor allem, dass Sie mit der Authentifizierung faul werden. Die Autorisierung ist immer noch Ihr Problem, aber Sie müssen sich nicht um die sichere Speicherung von Anmeldeinformationen kümmern. Das ist meiner Meinung nach eine gute Sache. Die 'Net brauchen mehr' Parteien wie Serverfault.


7
2018-06-10 15:54





Wenn Sie sich mit einer OpenID anmelden, müssen Sie sich nur bei Ihrem Provider anmelden Einmal - Beim zweiten Mal wird der Benutzer die Seite des Anbieters nicht sehen.

Vielleicht auch RPXnow wird interessant sein.


5
2018-06-10 15:47



Verteile RPXnow, danke.


Ich persönlich habe die Grenze zu OpenID überschritten. Früher war ich gegen die allgemeine Paranoia resistent. Jetzt ist es einfach zu schmerzhaft, um alles in Ordnung zu halten. Ich stimme zu, dass Nicht-Technologie-Nutzer anfangs vielleicht Schwierigkeiten haben, aber ich denke, je weiter es verbreitet wird, desto komfortabler werden die Leute werden. Einige Websites bieten sowohl ein traditionelles (lokales) Authentifizierungssystem als auch die Möglichkeit, OpenID zu verwenden. Ich denke, dass Bildung hier sehr hilfreich sein wird. Wenn Sie also klar erklären, was OpenID ist und welche Vorteile es hat, wird dies einen großen Schritt in Richtung Akzeptanz machen.

Als Single Sign On (SSO) -Technologie ist es offen für die allgemeinen Risiken eines SSO. Aus dieser Perspektive bin ich noch nicht bereit, meine Bank oder medizinischen Seiten darin zu integrieren :) Nicht, dass es von ihnen sowieso angeboten wird ...


4
2018-06-10 16:05





Ich füge das mit OpenID ein, das du normalerweise willst OAuth das wird kriminell niedrig drücken.

Andere haben genug über OpenID ausgearbeitet, OAuth fügt dem Set hinzu, dass eine andere Site nicht nur weiß, wer Sie sind, durch Ihren OpenID-Provider, sondern Sie können auch sagen, was die betreffende Site über Sie wissen darf.

  • benötigt E-Mail für Benutzerdetails
  • benötigt Vor- / Nachname für Benutzerdetails
  • braucht Land

vielleicht alles in Ordnung. Wie wäre es mit diesen:

  • Sozialversicherungsnummer
  • Kreditkartennummer
  • Telefonnummer
  • Anschrift

So OpenID + OAuth ist eine großartige Kombination, indem Sie beide verwenden nicht nur einen einzigen Ort, um einen Benutzernamen und ein Passwort zu behalten, sondern auch, wo Sie Details über sich behalten und nicht den Überblick verlieren, welche Seite Zugang zu welchen Details über Sie hat.


4
2018-06-10 16:10



Ich liebe OAuth in der Theorie. In der Praxis habe ich sehr wenig Granularität gefunden. Die meisten OAuth-Benutzer scheinen nach all Ihren Daten zu fragen (lesen und schreiben). - Evan
Die Daten, über die Sie sprechen - E-Mail, Name, Land, Adresse usw. - können mit einer OpenID-Erweiterung wie Simple Registration (Sreg) oder Attribute Exchange übertragen werden. Die Einschränkung besteht darin, dass sie nur zum Login-Zeitpunkt über den User-Agent übertragen werden kann. Die Sache, die OAuth hinzufügt, ist die Fähigkeit der Client-Anwendung und des Servers, eine direkte Verbindung zu haben, über die der Client API-Aufrufe durchführen kann, ohne dass der Benutzer anwesend ist, was in einigen Fällen nützlicher sein kann. (z. B. möchten Sie die E-Mail-Adresse, wenn Sie den Newsletter senden, nicht wenn der Benutzer sich anmeldet.) - keturn


Ich kann über ein Szenario nachdenken, wenn OpenID viele Benutzer vor Ort gewinnen wird. Angenommen, eine große Website verliert Millionen von Benutzer-Passwörtern gegen bösartige Hacker [*], und die Liste geht verloren. Die meisten Benutzer werden in Panik geraten, nicht nur wegen des einen bestimmten Kontos, sondern weil sie dasselbe Login / Passwort für mehrere Sites verwenden. Und sie tun es. Ich weiß ich tue. Und ich behalte diese Konten nicht im Auge. Das Ergebnis ist, dass ich es kann ändere niemals meine Passwörter.

Wenn ich jetzt weiß, dass ein Bösewicht meine Konten stehlen kann, was werde ich tun? Ich werde versuchen, diese überwältigende Aufgabe, Passwörter zu ändern, zu überwinden. Oder ich stolpere über das OpenID-Konzept und versuche, all diese Konten bei dieser Gelegenheit zu konvertieren. Das würde bedeuten, dass ich tatsächlich immer noch ein einziges Login / Passwort für mehrere Sites habe, aber jetzt kann ich das Passwort zumindest leicht ändern alle von ihnen. Und falls bösartige Hacker meine OpenID stehlen, habe ich ein einziges Problem, um das Zurücksetzen des Passworts anzufordern oder zumindest das Konto zu deaktivieren.

[*] - lies: Script Kiddies


3
2018-06-14 18:18





Je mehr ich verschiedene Websites besuche, desto mehr möchte ich eine Single-Sign-On-Funktion haben.

Jede Website denkt ihre am wichtigsten. Jede Website besteht darauf, dass Sie ein Konto erstellen, bevor Sie etwas tun können. StackOverflow, Serverfault, Wikipedia, WowWiki, Wowhead, MS Foren, CodeProject, CodePlex, auf und auf, ...

Sie alle verlangen, dass ich einen eindeutigen Benutzernamen, ein Passwort und eine Verzweigung über meine E-Mail-Adresse erstelle. Dann bestehen sie darauf, dass ich meine E-Mails checke, bevor sie mich posten, bearbeiten, herunterladen, klicken, kommentieren, bewerten usw. Es gibt Nein Grund dafür, dass ich Ihre Seite nicht sofort benutzen darf.

Ich will nur, dass sie alle den Mund halten. Ich möchte eine einzige Anmeldung, die ich einfach überall verwenden kann, mit einer E-Mail-Adresse, die ein schwarzes Loch ist, so dass ich nie ihren Müll lesen muss.

OpenID scheint das zu sein. Aber es war nur möglich, nachdem Google es unterstützt hat. Zuvor war es das eigene proprietäre Login-System von StackOverflow - dass sie zu faul waren, sich selbst zu hosten. Jetzt, da Google OpenID unterstützt, ist es tatsächlich vorstellbar, dass jeder es bereits hat.

Heutzutage muss ich keine Konten auf Websites erstellen und verfluche die Betreiber, die meinen, ich müsste zuerst ein Konto erstellen.

Lass mich nicht hassen Ihre Website auch.


3
2018-06-15 14:11



Umm ... stackoverfow / serverfault nicht erforderlich etwas posten Probieren Sie es aus: Verwenden Sie einen anderen Browser oder eine andere Maschine, und besuchen Sie serverfault, und Sie können Fragen stellen oder beantworten, ohne sich anzumelden. Wenn Sie denselben Browser verwenden, verdienen Sie im Laufe der Zeit sogar Rep und Privilegien, ohne ihnen jemals etwas zu geben. - Joel Coel
und es war nicht proprietär zu Stackoverflow ... Yahoo, Facebook und unzählige andere unterstützen und ermutigen es :) - warren
Das Tolle an OpenID-Standards ist, dass es so viele Möglichkeiten gibt! - Ian Boyd


Die Verwendung von openId auf beiden Seiten bietet Vorteile: 1. Entwickler müssen das Login-System nicht implementieren (Datenbank, Client-Verarbeitung, App-Sicherheit etc.) 2. Benutzer müssen sich keine zusätzlichen Anmeldeinformationen merken.

Auf der anderen Seite könnten Sie einige der Benutzer, die nicht wirklich Computer savy sind erschrecken und werden nur widerwillig sagen, ihre Google-Anmeldedaten zu Ihrer Website anmelden.

Die beste Lösung wäre ein Hibrid-System, das sowohl die OpenID- als auch die Vor-Ort-Registrierung erlaubt, aber das würde den ersten Nutzen, den ich erwähnt habe, wirklich ruinieren.


2
2018-06-16 07:46



hmm, jeder, den ich kenne war glücklich, facebook ihre volle u / p dafür zu geben, um ihr Adressbuch herunterzuladen, um mich 50 mal zu spammen ... - Mark Henderson♦