Какие причины НЕ использовать OpenID?

Question

Вы видите немало (в любом случае в сообществе Geek) об OpenID. Это похоже на хорошую идею. Я занимаюсь разработкой веб-сайта, который будет нацелен на несколько менее увлеченную аудиторию (но не совсем на маму и папу), поэтому мне интересно, будет ли OpenID «слишком сложным» для некоторых аудиторий.

Что ты думаешь? Кроме того, есть ли другие технические или нетехнические причины НЕ использовать OpenID?

Answer 1

Сказать, что обычный человек не понимает OpenID, может быть немного неточно.

В большинстве случаев, с немного убедительным маркетингом (то есть «ИСПОЛЬЗОВАТЬ ОДИН ЛОГИН НА ВСЕХ САЙТАХ !!! 11!»), Они могут понять, что это позволяет им входить на сайты, используя один логин, а не иметь кучу разных имен пользователей. и пароли на разных сайтах.

Проблема, однако, в том, что для обычного пользователя весь опыт OpenID идет вразрез с тем, что они считают сетевой безопасностью.

• Пользователи не будут доверять ему автоматически

  При обычном входе в систему по имени пользователя и паролю пользователи понимают, что пароль должен храниться в секрете, и именно это защищает их конфиденциальность при входе на сайт. Как они понимают обмен, который происходит между клиентским сайтом OpenID и их поставщиком OpenID? Все, что они знают, это то, что им не нужно было вводить пароль (при условии, что они «всегда входят в систему» ​​у своего провайдера OpenID) - так что это небезопасно, верно? Я имею в виду, в глазах пользователей, как это может быть безопасно, если они не дали пароль? Это может привести к недоверию пользователя.

• Это облегчает фишинг

  (Многие) пользователи знают, что неправильно повторно использовать один и тот же пароль для разных учетных записей, однако, похоже, именно это и делает OpenID. Что если пользователь просто предполагает, что все, что делает его провайдер OpenID, делятся своим паролем со всеми участвующими сайтами? Я имею в виду, как еще OpenID может «войти для них» на всех этих сайтах? Если пользователь предполагает, что через OpenID его пароль становится известен всем участвующим сайтам OpenID, он может предположить, что было бы разумно выдать этот пароль любому из этих сайтов. Это фишинговый кошмар. Представьте себе фразу на вашем сайте: «Пожалуйста, введите ваше имя (для некоторых поставщиков OpenID) [] и пароль []». Вы уже фишингуете людей.

  Мы также не должны забывать, что пользователь будет прав в своих подозрениях в одном отношении, даже если по несколько иной причине: если кто-то получает доступ к своему провайдеру OpenID, он получает доступ к своему. идентичность на всех сайтах, где они использовали эту идентичность, что является тем же недостатком, что использование одного и того же пароля на нескольких сайтах.

• Это слишком сильно отличается от того, что понимают пользователи

  Наличие нескольких имен пользователей / паролей на разных сайтах не составляет труда для пользователей. Пользователи хорошо понимают концепцию имен пользователей и паролей, потому что они к ним привыкли, и точка безопасности (факт, что пароль является секретом) для них действительно очевидна. Это действительно ясно, как работает пароль. Наличие нескольких комбинаций имени пользователя и пароля не делает это более запутанным или сложным - это одно и то же, но не одно и то же. Хотя запоминание нескольких паролей может быть затруднено, пользователи по крайней мере знают, как это сделать и как это работает.

  OpenID пытается решить проблему запоминания нескольких паролей, но при этом создает совершенно новую парадигму, совершенно непрозрачную для пользователей. В отличие от пароля, безопасность которого очевидна (он просто должен быть секретным), вся безопасность OpenID происходит за кулисами, когда сайты связываются друг с другом, ключи и хэши и т. Д. Пользователь больше не полностью понимает, как его конфиденциальность защищена или что от кого нужно хранить в секрете, потому что они не понимают, как работает система. Поэтому, пытаясь решить проблему запоминания нескольких паролей, OpenID создал мистическую систему обмена ключами, которая нарушает понимание пользователем того, как работает аутентификация и почему она безопасна.

Answer 2

Обычные пользователи до сих пор не понимают, что такое OpenId, для чего он нужен и как его использовать. Например, мои родители не смогут войти в Переполнение стека.

При этом речь идет в основном о пользовательском интерфейсе. Ничто по своей сути не мешает им использовать OpenId - им просто нужен пользовательский интерфейс, который абстрагирует их от OpenId и позволяет им входить в систему только через свою учетную запись Google.

Answer 3

OpenID впечатляюще подвержен попыткам фишинга. Если вы запускаете сайт OpenID, попробуйте изменить страницу входа в систему однажды, чтобы запросить идентификатор и пароль, вместо обычного подхода - только запрос идентификатора и перенаправление к поставщику OpenID для запроса пароля пользователя. Могу поспорить, что таким образом вы сможете получить более четверти паролей вашего пользователя.

Answer 4

Да, охрана. Использование OpenId дает вам возможность управлять своими учетными записями. Вы не можете контролировать безопасность пароля и идентификаторы пользователей. Вы доверяете какой-то другой организации, чтобы удостовериться, что люди, заходящие на ваш сайт, являются теми, кем они себя называют. Если вам нужно действительно удостовериться, что кто-то есть тот, о ком говорят. Вы не получите этого с открытым идентификатором, не сделав какую-то вторичную проверку самостоятельно. в этом случае вы можете просто не использовать OpenId.

http://www.computerworld.com/s/article/9179224/Researchers_Password_crack_could_affect_millions

Answer 5

Это очень много.

Хорошее правило:

Если вам нужно собрать и сохранить личная идентификация информация, не используйте OpenID.

Если вам не нужно собирать и хранить личная идентификация информация, идти вперед и предложить OpenID как способ авторизации.

Для электронной коммерции или где-либо еще, где вам необходимо соответствовать сертификации PCI / DSS, я бы не использовал OpenID.

Я не против, чтобы SO был исключительно OpenID, однако я бы не стал создавать сайт, который бы использовал его исключительно.

Answer 6

1. Интерфейс ужасен.

   а. Регистрация с OpenID требует больше времени и опыта. Обычная регистрация занимает совсем немного времени или смекалка. Регистрация происходит один раз, , но это большие начальные инвестиции, поэтому сайт должен быть очень привлекательным.

   б. Вход в систему включает в себя: три части данных вместо двух; две веб-страницы вместо одной (на самом деле три в StackOverflow); и внешний веб-сайт. КАЖДЫЙ ВРЕМЯ.

   с. Для такого решения есть лучшие интерфейсы. Я использую KeePass, например.

2. Имя коллизии. Нет способа обеспечить уникальные имена.

3. Безопасность ужасна.

   а. Это поощряет фиш-подобное поведение. Это не так плохо, как «Проверено Visa», но близко.

   б. Единственная точка отказа: если вы потеряете что-либо, вы потеряете все. KeePass по крайней мере позволит мне физически защитить пароль (у вас должен быть жесткий диск с зашифрованной базой данных на нем) .

   с. Межсайтовое отслеживание. Компании, выпускающие кредитные карты, на самом деле имеют правила, регулирующие, сколько отслеживания их разрешено делать. Cookies могут быть выборочно отключены или предотвращены в современных браузерах. OpenID не имеет правил и регуляторов.

4. Это на самом деле не универсально. Google предоставляет OpenID ... но не использует их. То же самое для Yahoo. И для AOL. У поставщика OpenID нет стимула разрешать использование OpenID от других поставщиков.

5. OpenID полезен для аутентификации, но не для авторизации, особенно для чего-либо чувствительного (например, для кредитных карт).

Лично для меня я использую один логин / пароль для каждого сайта и использую KeePass (который я могу защитить физически и с двумя уровнями паролей, которые необходимо взломать) для поддержки абстракции «один логин для всех».

Это включает в себя StackOverflow: я создал OpenID специально для вас, ребята, , и больше никогда не буду его использовать. Я сделал это, и я смирился с болью при входе в систему, потому что содержание убедительно.

Но если бы для StackOverflow когда-либо предоставлялся реальный метод аутентификации, я бы вскочил на него в одно мгновение, просто для удобства использования.

Answer 7

OpenID по-прежнему небезопасен, как и любой другой метод аутентификации на основе пароля. На самом деле, это даже хуже, потому что если кто-то получит доступ к вашему OpenID, у него будет больше, чем просто одна учетная запись. Конечно, есть и фишинговые атаки, но мы все опытные программисты, администраторы баз данных и системы, поэтому мы бы не попались на такие вещи, верно?

Безопасность аутентификации основана на доверии. Как отмечали другие, почему вы доверяете третьей стороне потенциально конфиденциальную информацию? Конечно, вы можете настроить сервер OpenID самостоятельно, но насколько это сложно по сравнению с сохранением отдельных паролей в нескольких системах? Конечно, вы можете создавать безопасные пароли, которые длинны и полны не алфавитно-цифровых символов, и даже хранить их все в диспетчере паролей (я делаю), но некоторые сайты имеют недостатки в том, что можно заполнить простую форму восстановления пароля Доступ для сброса пароля.

Я бы, вероятно, был склонен поддерживать и даже евангелизировать OpenID, если бы он защищал аутентификацию на основе закрытых ключей, например SSH или PGP. Может быть, дело в том, что провайдер предлагает такой метод - я еще не изучал его.

Наконец, хотя мы все достаточно доверяем OpenID, чтобы использовать его для аутентификации при переполнении стека, мой OpenID является «одноразовым», и я не использую его в качестве инструмента для создания профессиональной репутации (т.е. мое настоящее имя не участвую ;-)). Я уверен, что я не единственный (такой же крутой и потрясающий, как этот сайт!).

Answer 8

OpenID хорош, если его используют все сайты. Но зарегистрироваться на OpenID только для того, чтобы использовать ОДИН сайт, это слишком много. Регистрация в OpenID не так проста, как прямая регистрация на сайте (с точки зрения потребителя).

Answer 9

Сегодня я наткнулся на статью, в которой приводятся очень веские аргументы в пользу пропуска OpenID от человека, который изначально был в восторге от этого.

Открытый идентификатор - это кошмар

Я всегда был главным сторонником Открыть ID. Мне нравится идея и намерение - это отличное решение для давняя проблема и многое решает вопросов для разработчиков. К сожалению это создает тонну больше для владельцев бизнеса.

Прочитайте остальное здесь: http://www.wekeroad.com/2010/11/17/open-id-is-a-party-that-happened/

Это не моя история, поэтому я не возьму на себя ответственность.

Answer 10

Мне смешно читать эту тему, она точно отражает мой опыт работы с OpenID:

StackOverflow.com был для меня причиной получения OpenID.
Многие поиски в Google привели меня на этот сайт, и я так и не смог оставить комментарии.
Я много раз думал о регистрации, но не из-за OpenID. Мне не было ясно, что именно.
Но однажды я принял решение зарегистрироваться, и это заняло у меня некоторое время, но я не жалею об этом, потому что использую его каждый день. Это дает мне более уверенное чувство, хотя я знаю, что это всего лишь одна учетная запись, которая может привести ко многим проблемам в случае фишинга.

Так что для меня OpenID - это действительно хороший способ быстрого входа на сайты, которые я не знаю, но и на более крупные сайты, такие как StackOverflow.com
Основная проблема заключается в том, что новых пользователей нужно подтолкнуть к процессу регистрации, а затем выяснить, насколько велик OpenID.