Использовать OpenID или не использовать?

Question

Я новичок в этом сайте, но я прочитал правила, а также искал раздел вопросов, но не нашел ни одного связанного вопроса, на который дан хороший ответ.
во всяком случае, вопрос: что за профи. И минусы использовать OpenID на веб-сайте вместо обычной системы входа в систему? Мой клиент хочет, чтобы я использовал этот вид логинов для локальной системы продаж, и я понятия не имею, почему !? заранее спасибо.

Answer 1

OpenId реализован в Stackoverflow. Поскольку вы только что зарегистрировались, вы, возможно, сами испытали преимущества.

По сути, его можно использовать, чтобы разрешить пользователям входить на веб-сайт без создания учетной записи или отправки вам какой-либо своей личной информации. Если у них есть учетная запись с поставщиком OpenId, который поддерживается вашим сайтом (например, Google), они могут просто использовать свое имя пользователя и пароль Google для входа на ваш сайт. Это может увеличить удержание клиентов и снизить вероятность того, что пользователи уйдут из-за того, что забыли свой пароль.

Вот обзор 37signals.com, который объясняет преимущества OpenId для их приложений: http://www.37signals.com/openid/

И, конечно, вы можете найти гораздо больше информации по адресу: http://openid.net/

Answer 2

Я не могу придумать никаких причин , а не , чтобы использовать его, но есть некоторые вещи, которые вы должны рассмотреть.

Я бы предложил предложить OpenID в качестве альтернативного механизма, главным образом из-за недостаточной осведомленности пользователей. Многие разработчики не знакомы с ним, поэтому пользователи определенно не узнают об этом, и они будут смущены, когда увидят OpenID на странице регистрации / входа с запросом своего логина / пароля Google или Yahoo (Что такое OpenID? делать с покупкой тостера?). Следовательно, они будут перенаправлены в Google или на другой сайт, чтобы подтвердить, что они хотят разрешить вашему сайту доступ к своим данным для входа, что может еще больше запутать их (получают ли эти люди доступ к моей почте Gmail?). С точки зрения безопасности, насколько мне известно, на вашем сайте могут храниться мои данные для входа в Google, и я могу отказаться от входа или покупки из-за проблем с доверием.

Так что в зависимости от характера сайта целесообразно размещать систему логина / пароля спереди и openID сбоку.

Answer 3

Хотя для нас, технарей, преимущества OpenID очевидны, обычным пользователям иногда трудно понять идею использования логина одного сайта для входа на другой сайт. Они просто привыкли создавать учетные записи для сайта, который начинают использовать.

Основная проблема заключалась в том, что пользователи не знали полностью, что такое OpenID. С помощью исследований юзабилити это было решено путем продвижения регистрации OpenID как возможности предоставить учетные данные уже имеющейся учетной записи, такой как Yahoo, GMail или MS Passport, поскольку их операторы недавно стали поставщиками OpenID. Как Yahoo сказал , «Продвигайте утилиту, а не технологию».

И, конечно, важно подчеркнуть, что им не нужно иметь еще одну учетную запись и еще один пароль для запоминания (или поставить еще один пост-он;)) и что сайт-потребитель не имеет никакого способа хранить учетные данные провайдера. Этого должно быть достаточно, чтобы убедить их.

Но из-за разной природы сайтов, предоставляющих вход в систему openid, я не хотел бы входить с ним на свой банковский счет.

Answer 4

Причиной НЕ использования OpenID является безопасность.

Если пользователь использует стороннего поставщика OpenID (Google, Yahoo и т. Д.), То злонамеренный сотрудник поставщика, который имел доступ , может получить информацию для входа и использовать учетную запись пользователя.

Я столкнулся с этим сценарием при разработке собственного приложения для управления жизненно важным сервисом для клиента. OpenID был очень привлекательным, так как пользователи уже были знакомы с внешними сервисами (кажется, у всех есть учетная запись Gmail или Yahoo). Недостатком было то, что любой эксплойт мог привести к потере сотен тысяч долларов дохода.

Решением было реализовать один дополнительный уровень безопасности, который был бы прозрачен для пользователя и не использовался провайдером OpenID: доступ к экрану входа в приложение можно было получить только из сети компании.

Answer 5

Вы должны знать, что openID может быть более уязвим для фишинга, потому что пользователи знают об этом меньше. Если вредоносный сайт делает вид, что реализует openID, но перенаправляет попытку входа на вредоносный сайт, находящийся под его контролем (скажем, имитирующий логин Google), он может получить доступ к учетной записи этого фишированного пользователя на всех сайтах openID. Поэтому, если вы используете openID, вероятность появления ботов и злонамеренных пользователей может быть выше, а может и нет.

Как это сработает на практике и станет ли это действительной проблемой безопасности, - пока никто не знает. Я полагаю, что есть также некоторые предлагаемые изменения в стандарте openID, чтобы попытаться смягчить эти атаки, хотя я не знаю деталей.