Open ID có tốt hơn hệ thống LogIn thông thường không? [đóng cửa]

Chúng tôi đang phát triển một hệ thống web và xem xét sử dụng tính năng Open Id. Bạn có nghĩ rằng nó tốt hơn cách người dùng loggin thông thường không? Nếu chúng tôi sử dụng tính năng Open Id, điều đó có nghĩa là người dùng sẽ được chuyển hướng đến trang web mà họ chọn là nhà cung cấp Open Id, họ sẽ thực hiện nhiều hành động hơn. Sau đó, họ phải đăng nhập vào đó và được chuyển hướng trở lại trang web của chúng tôi. Người dùng sẽ thoải mái với điều này?

Lưu ý: Đây là một trang web mạng xã hội nhiều hơn nhưng không có gì cồng kềnh.

Tôi yêu OpenID và nó hoàn toàn tốt hơn so với phép ẩn dụ thông tin đăng nhập "trang web" truyền thống. Tôi không muốn có thêm thông tin quản lý và tôi không muốn tin tưởng J. Trang web ngẫu nhiên để lưu trữ thông tin đăng nhập mà tôi cung cấp một cách an toàn. Tôi nghĩ rằng người dùng sẽ trở nên thoải mái hơn với nó vì nó trở nên phổ biến hơn. Hy vọng nó trở nên phổ biến hơn.

Hãy chỉ ra nếu chúng tôi sai.

Quan điểm tiêu cực

• Chúng tôi nghĩ rằng đối với người dùng phổ thông, nó có thể KHÔNG phải là cách thích hợp hơn.
• Người dùng có kiến ​​thức công nghệ ít hơn sẽ suy nghĩ hai lần hoặc bị nhầm lẫn.
• Họ KHÔNG được sử dụng nó.
• Họ phải tận dụng một id mở từ một nhà cung cấp nhất định có thể gây phiền nhiễu cho họ.
• Họ có thể ghét nó vì họ sẽ được chuyển hướng đến một trang web khác.
• Họ có thể hiểu sai!

Quan điểm tích cực

• Điều đó đáng tin cậy vì chúng tôi không yêu cầu thông tin đăng nhập của họ.
• Nó nhanh hơn khi đăng nhập.
• "Khắc phục sự kiệt sức thông tin". Rất khó để theo dõi có bao nhiêu người bỏ qua một trang web vì họ từ chối duy trì tên người dùng / mật khẩu khác. - Kara Mafia

Đừng quên rằng nó không phải là một hoặc / hoặc tùy chọn. Bạn có thể (và có lẽ nên) thêm hỗ trợ OpenID ngoài các phương thức đăng nhập truyền thống. Điều này sẽ không khiến người dùng 'chung' sợ hãi - họ chỉ sử dụng phương thức hiện có, trong khi làm cho cuộc sống dễ chịu hơn nhiều đối với những người sử dụng OpenID.

OpenID cung cấp một số lợi thế, chủ yếu trong số đó cho phép bạn lười biếng với xác thực. Ủy quyền vẫn là vấn đề của bạn, nhưng ít nhất bạn không phải lo lắng về việc lưu trữ thông tin xác thực một cách an toàn. Đây là một điều tốt trong quan điểm của tôi. 'Mạng cần nhiều hơn' dựa vào các bên 'như serverfault.

Nếu bạn đăng nhập bằng OpenID, bạn chỉ cần đăng nhập vào nhà cung cấp của mình một lần - lần thứ hai, người dùng thậm chí sẽ không nhìn thấy trang của nhà cung cấp.

Ngoài ra, có thể RPXnow sẽ thú vị.

Cá nhân tôi đã vượt qua ranh giới để yêu OpenID. Tôi đã từng chống lại nó từ hoang tưởng nói chung. Bây giờ chỉ là quá đau đớn trong một $$ để giữ cho mọi thứ thẳng. Tôi đồng ý rằng người dùng phi công nghệ ban đầu có thể đấu tranh, nhưng tôi nghĩ rằng càng lan rộng thì mọi người sẽ càng cảm thấy thoải mái hơn. Một số trang web cung cấp cả hệ thống xác thực (cục bộ) truyền thống và cả tùy chọn sử dụng OpenID. Tôi nghĩ rằng giáo dục sẽ giúp ích rất nhiều ở đây, vì vậy nếu bạn giải thích rõ ràng OpenID là gì và lợi ích của nó thì điều đó sẽ đi một chặng đường dài hướng tới sự chấp nhận.

Là một công nghệ Đăng nhập một lần (SSO), nó mở ra những rủi ro chung của bất kỳ SSO nào. Từ quan điểm đó, tôi chưa sẵn sàng để tích hợp ngân hàng hoặc các trang web y tế của mình vào đó :) Không phải là nó được cung cấp bởi họ ...

Tôi sẽ nói về điều đó với OpenID, bạn thường muốn OAuth bị báo chí phạm tội thấp.

Những người khác đã xây dựng đủ về OpenID, OAuth bổ sung vào tập hợp rằng một trang web khác không chỉ biết bạn là ai thông qua nhà cung cấp OpenID của bạn mà bạn còn có thể cho biết những gì trang web nghi vấn được phép biết về bạn.

• cần email để biết chi tiết người dùng
• cần đầu tiên- / họ để biết chi tiết người dùng
• cần đất nước

có thể tất cả đều ổn Còn những cái đó thì sao:

• số an sinh xã hội
• Số thẻ tín dụng
• số điện thoại
• địa chỉ bưu điện

Vì vậy, OpenID + OAuth là một sự kết hợp tuyệt vời, bằng cách sử dụng cả hai bạn không chỉ có một nơi duy nhất để giữ tên người dùng và mật khẩu mà còn là nơi bạn giữ thông tin chi tiết về bản thân và không mất tổng quan về trang web nào có quyền truy cập vào chi tiết nào về bạn.

Tôi có thể nghĩ về một kịch bản khi OpenID sẽ thu hút được nhiều người dùng ngay tại chỗ. Giả sử một trang web lớn mất hàng triệu mật khẩu người dùng cho các tin tặc xấu xa [*] và danh sách bị rò rỉ. Hầu hết người dùng sẽ hoảng loạn, không chỉ vì một tài khoản cụ thể mà còn vì họ sử dụng cùng một thông tin đăng nhập / mật khẩu cho nhiều trang web. Và họ làm. Tôi biết, tôi làm. Và tôi không theo dõi bất kỳ tài khoản nào, vì vậy kết quả là tôi không bao giờ có thể thay đổi mật khẩu của mình .

Bây giờ khi tôi biết rằng một kẻ xấu có thể đánh cắp tài khoản của tôi, tôi sẽ làm gì? Tôi sẽ cố gắng vượt qua nhiệm vụ thay đổi mật khẩu này. Hoặc tôi sẽ vấp phải khái niệm OpenID và cố gắng chuyển đổi tất cả các tài khoản này vào dịp này. Điều này có nghĩa là tôi thực sự vẫn có một thông tin đăng nhập / mật khẩu cho nhiều trang web, nhưng bây giờ tôi ít nhất có thể dễ dàng thay đổi mật khẩu trong tất cả chúng . Và trong trường hợp tin tặc độc ác đánh cắp OpenID của tôi, tôi có một vấn đề duy nhất là yêu cầu đặt lại mật khẩu hoặc ít nhất là để vô hiệu hóa tài khoản.

[*] - đọc: kịch bản kiddies

Tôi càng truy cập nhiều trang web khác nhau, tôi càng muốn có một tính năng đăng nhập.

Mỗi trang web nghĩ rằng họ là quan trọng nhất. Mỗi trang web khẳng định rằng bạn tạo một tài khoản trước khi bạn có thể làm bất cứ điều gì. StackOverflow, Serverfault, Wikipedia, WowWiki, Wowhead, Diễn đàn MS, CodeProject, CodePlex, bật và tắt, ...

Tất cả họ đều yêu cầu tôi tạo một tên người dùng duy nhất, mật khẩu và chọn địa chỉ email của tôi. Sau đó, họ nhấn mạnh rằng tôi đi kiểm tra e-mail của tôi trước khi họ cho phép tôi gửi, chỉnh sửa, tải về, nhấp chuột, bình luận, tỷ lệ, vv Có không lý do gì để không cho phép tôi sử dụng trang web của bạn ngay lập tức tôi đi lang thang vào nó.

tôi chỉ muốn tất cả im lặng. Tôi muốn một thông tin đăng nhập duy nhất mà tôi có thể sử dụng ở mọi nơi, với địa chỉ email là một lỗ đen để tôi không bao giờ phải đọc rác của họ.

OpenID dường như là vậy. Nhưng nó chỉ có thể khi Google hỗ trợ nó. Trước đó, đó là hệ thống đăng nhập chính của StackOverflow - rằng họ quá lười biếng để tự lưu trữ. Bây giờ Google hỗ trợ OpenID, mọi người thực sự có thể hiểu được rằng mọi người sẽ có nó.

Ngày nay, tôi không muốn tạo tài khoản trên các trang web và nguyền rủa các nhà khai thác nghĩ rằng tôi nên tạo tài khoản trước.

Đừng làm tôi ghét trang web của bạn quá.

Có những lợi ích của việc sử dụng openId ở cả hai phía: 1. Nhà phát triển không cần triển khai hệ thống đăng nhập (cơ sở dữ liệu, xử lý khách hàng, bảo mật ứng dụng, v.v.) 2. Người dùng không cần phải nhớ thêm một bộ thông tin đăng nhập.

Mặt khác, bạn có thể sợ một số người dùng không thực sự hiểu biết về máy tính và sẽ miễn cưỡng cho biết thông tin đăng nhập của google để đăng nhập vào trang web của bạn.

Giải pháp tốt nhất sẽ là một hệ thống hibrid cho phép đăng ký cả OpenID và tại chỗ nhưng điều này thực sự sẽ phá hỏng lợi ích đầu tiên tôi đã đề cập.

Một điều khác OpenID mang lại cho người dùng của bạn là khả năng sử dụng thông tin xác thực mạnh hơn. Tôi thấy một số lo ngại về lừa đảo trong các phản hồi ở đây, nhưng bạn có thể chọn nhà cung cấp OpenID hoàn toàn không sử dụng thông tin xác thực có thể lừa đảo / phát lại được. Chứng chỉ SSL hoặc Thẻ thông tin, ví dụ, được hỗ trợ trên một số nhà cung cấp. myOpenID có một điều yêu cầu bạn phải trả lời một cuộc gọi điện thoại trước khi bạn có thể đăng nhập. Tôi khá chắc chắn có những trang web khác sử dụng mã thông báo phần cứng.

Có, hầu hết người dùng của bạn có thể sẽ chỉ nhấp vào nút Yahoo và không sử dụng. Nhưng nó mang lại cho họ sự lựa chọn và bạn không phải lo lắng về các chi tiết triển khai. Tôi khẳng định việc thêm hỗ trợ OpenID vào trang web của bạn dễ dàng hơn so với việc hỗ trợ các chứng chỉ SSL theo cách đa trình duyệt. Và nó chắc chắn dễ dàng hơn việc hỗ trợ tất cả các chứng chỉ SSL, Thẻ thông tin, xác minh điện thoại, xác minh mã thông báo, DDRpass, xác thực dấu chấm ngẫu nhiên hoặc bất cứ điều gì kỳ quặc mà họ nghĩ đến tiếp theo.

Tôi không cố gắng thay đổi suy nghĩ của bất cứ ai. Xin vui lòng, xem xét những sự thật này. OpenID chỉ có hai điều khác với hệ thống xác thực mật khẩu + người dùng:

• nơi xác thực của bạn xảy ra. Nếu bạn đã sử dụng tên + mật khẩu trước đó, OpenID sẽ thay đổi nơi kiểm tra mật khẩu. Nếu bạn đã sử dụng chứng chỉ trước đó, OpenID sẽ thay đổi nơi chứng chỉ được kiểm tra.
• URL OpenID là duy nhất cho toàn bộ WWW (không xem xét DNS-es gốc thay thế)

Điều tôi đang cố gắng chỉ ra là không có gì thay đổi nữa:

• OpenID không phải là sự thay thế cho thủ tục đăng ký (nhưng nó có thể đơn giản hóa việc đăng ký thông qua phần mở rộng sREG)
• nó không kém an toàn Nếu một người sử dụng mật khẩu ngắn trước đó, anh ta sẽ sử dụng lại chúng.
• điều đó không có nghĩa là bạn không thể có hàng trăm id khác nhau cho mỗi trang web ngoài kia cho những người hoang tưởng.
• nó không ngụ ý " OMG đó là công nghệ đam mê, chạy đi !! ". Không, bạn có thể tạo các nút sáng bóng đẹp mắt như nhóm trang web StackOverflow đã làm cho các nhà cung cấp OpenID phổ biến. Điều đó thân thiện với người dùng hơn rất nhiều.
• nó không ngụ ý chuyển hướng. Bạn có thể xác thực trong iframe hoặc cửa sổ trình duyệt riêng biệt.

Điều đó giống như với bất kỳ công nghệ khác. Hầu hết những điều mọi người nói về nó là huyền thoại bởi vì họ đã không dành thời gian để nghiên cứu nó hoặc vì họ đã sử dụng thực hiện sai.

OpenID phức tạp hơn và khiến bạn phụ thuộc vào các nhà cung cấp khác không đi xuống.

Một trong những vấn đề mà StackOverflow gặp phải là nó, nếu bạn đăng nhập bằng OpenId khác với thông thường bạn sử dụng, bạn sẽ mất xếp hạng và huy hiệu của mình (có thể họ đã sửa lỗi cho đến bây giờ, bạn vẫn chưa nghe thấy). Có một lần tôi không thể đăng nhập trong một giờ vì nhà cung cấp của tôi đã ngừng hoạt động.

Tôi ghét openID và đó là lý do chính để KHÔNG đăng ký tại serverfault / stackoverflow Điều gì về quyền riêng tư của người dùng? Một số người dùng, như tôi, cực kỳ hoang tưởng và không thích trộn thông tin facebook / yahoo / google giữa các trang web khác nhau

OpenID trong khi về mặt khái niệm tốt đẹp phải đối mặt với IMO một trận chiến khó khăn vì các nhà phát triển khó thực hiện và b) khó cho người dùng làm quen với khái niệm sử dụng url. Mẫu sử dụng tên người dùng / mật khẩu đã ăn sâu vào thời điểm này.

Điều đó nói rằng, hãy xem Clickpass ( www.clickpass.com ). Họ đang tích cực cố gắng làm cho OpenID dễ sử dụng hơn.

Chúc may mắn.

Chưa.

Nó cần hỗ trợ trình duyệt. Các trình duyệt sẽ hoàn thành trải nghiệm người dùng tuyệt vời với OpenID, vì họ có thể quản lý danh tính của bạn theo cách tập trung và làm cho mọi thứ rất đơn giản (có vẻ như trang web bạn đang truy cập đang sử dụng OpenID, bạn có muốn sử dụng http://yahoo.com không / người dùng để đăng nhập?) và an toàn.

Nhưng ngay bây giờ, bạn cần một nỗ lực đáng kể để làm cho OpenID có thể sử dụng được. Như tôi thấy, bạn cần cung cấp OpenID dưới dạng tùy chọn hoặc cung cấp nhà cung cấp OpenID của riêng bạn cho người dùng của bạn (giúp họ tự do sử dụng dịch vụ của bên thứ ba).

Nghĩ khách hàng. Là khách hàng mục tiêu của bạn là một người đam mê? Nếu có, OpenID sẽ gây ấn tượng với khách hàng của bạn và giúp trang web của bạn. Nếu không, công việc bổ sung trong việc làm cho nó trở nên thân thiện sẽ giúp rút hết tài nguyên khỏi việc cung cấp nội dung mà khách hàng của bạn quan tâm. Tập trung vào việc cung cấp giá trị cho khách hàng của bạn đầu tiên.

Vấn đề với OpenID là rất tốt cho những thứ như ServerFault khi mức độ tin tưởng vào danh tính của ai đó không thực sự được xem xét - một khi bạn bắt đầu quan tâm, đó là nơi cuộc sống trở nên phức tạp.

Nó trở nên phức tạp, bởi vì khi tôi kiểm soát nhà cung cấp xác thực của mình, tôi hoàn toàn tin tưởng nhà cung cấp đó vì tôi điều hành nó và có lẽ đã triển khai nó theo tiêu chuẩn mà tôi yêu cầu. Khi tôi di chuyển xác thực ngoài tầm kiểm soát của mình, bây giờ tôi cũng phải gán một mức độ tin cậy cho nhà cung cấp xác thực.

Tại nhà tuyển dụng của tôi, theo luật, tôi không thể tin tưởng BẤT CỨ nhà cung cấp OpenID nào ngoài đó vì:

• Họ không thực thi thay đổi mật khẩu định kỳ
• Họ không thực thi độ dài / độ phức tạp của mật khẩu
• Tôi không thể kiểm toán thực hành quản lý hệ thống của họ

Đó không phải là một danh sách toàn diện bằng mọi cách.

Để OpenID hoạt động cho các ứng dụng không tầm thường, tôi cần một nhà cung cấp đáng tin cậy - và phải giới hạn người dùng của tôi với nhà cung cấp (hoặc nhà cung cấp đáng tin cậy) đó. Đó là loại đánh bại toàn bộ lợi thế "tên người dùng / mật khẩu". Ngay cả khi đó, tôi vẫn có thể cần thực hiện một số xác minh danh tính cho người dùng ở mức độ tin cậy cao hơn. Có vẻ như rất nhiều công việc đối với tôi, đặc biệt là khi quản lý nhà cung cấp xác thực của riêng bạn không phải là khoa học tên lửa.

IMO, các chính phủ có tiềm năng để làm cho công nghệ này hoạt động. Nếu DMV tiểu bang / tỉnh hoặc bưu điện cung cấp dịch vụ nơi công dân thiết lập thông tin đăng nhập trực tuyến, có thể truy cập qua OpenID, bạn có thể tin tưởng vào thông tin đăng nhập của Bưu điện / DMV. (Bởi vì chính phủ nói: 'Ngươi sẽ tin tưởng chúng ta') Tôi tin rằng các quốc gia như Na Uy và Đan Mạch đã cấp các thông tin PKI riêng lẻ.

Đối với một trang web mạng xã hội, OpenID sẽ giúp thu hút những người am hiểu công nghệ. Tuy nhiên, nếu đó là lựa chọn duy nhất của bạn, nó sẽ khiến mọi người khác sợ hãi. Người dùng đã quen với việc đăng ký với thông tin đăng nhập và mật khẩu mới trên mỗi trang web. OpenID là mới và nước ngoài, và có thể khiến người dùng tự hỏi tại sao họ lại cung cấp thông tin đăng nhập của họ cho bên thứ ba. Đối với một người dùng thông thường, OpenID cũng có thể nói GiveMeYourIn informationSoICanSpamYou ... đó chỉ là một lý do nữa để họ nghi ngờ về tính toàn vẹn của trang web của bạn.

Tóm lại - xác định cơ sở người dùng của bạn và cào OpenID hoặc sử dụng cả OpenID và hệ thống đăng nhập do ứng dụng quản lý.

Tôi tự hỏi tại sao mọi người nghĩ openID an toàn hơn. Đối với người dùng am hiểu công nghệ, điều này có thể được áp dụng, nhưng một người dùng thông thường sẽ không phát hiện ra sự khác biệt giữa thông tin đăng nhập openID thực và giả mạo sẽ xóa mật khẩu.
Thậm chí tệ hơn, họ cũng sẽ biết tài khoản openID nào được liên kết với mật khẩu này và có thể gây thiệt hại nhiều hơn so với kết hợp tên người dùng / email / mật khẩu đơn giản.

openID là một giải pháp kỹ thuật cho người dùng kỹ thuật và không hữu ích cho người dùng thông thường. Vì vậy, đối với các trang web kỹ thuật có thể hoa mỹ, nhưng tôi không thấy điều đó cho các trang web thông thường bất cứ lúc nào sớm.

Tôi sẽ nói rằng có, OpenID tốt hơn giải pháp đăng nhập thông thường theo quan điểm của người dùng , vì những lý do sau:

• Tôi không phải nhớ tên người dùng và mật khẩu khác cho trang web của bạn
• Tôi có thể sử dụng một ID đăng nhập cho nhiều trang web, nếu tôi muốn
• Tôi luôn nhận được cùng một tên người dùng - không thêm số và crap ngẫu nhiên vào cuối ID đăng nhập cho đến khi tôi nhận được một tên miễn phí
• Nó sẽ trở nên phổ biến hơn và được người dùng hiểu rõ hơn khi thời gian trôi qua
• Giải thích cho người dùng về cách thức hoạt động và lợi ích đối với họ khá đơn giản
• Hầu hết người dùng sẽ có một tài khoản email miễn phí từ Yahoo hoặc Google mà họ có thể sử dụng như một nhà cung cấp OpenID -> họ thậm chí có thể không biết điều này là có thể.
• Người dùng vẫn có thể cung cấp một địa chỉ email khác cho nhà cung cấp OpenID (nếu đó là tài khoản yahoo / gmail / tài khoản miễn phí) mà bạn có thể yêu cầu họ nhấp vào một liên kết để xác nhận, như một bản sao lưu để gửi email "quên mật khẩu của tôi" hoặc thông báo khác hoặc tiếp thị gumph đến.

Hãy nhớ rằng chỉ vì bạn có tùy chọn OpenID, điều đó không có nghĩa là bạn cũng không thể cung cấp cho người dùng tùy chọn sao lưu để có một tên người dùng + mật khẩu truyền thống trong trường hợp họ không muốn sử dụng OpenID hoặc không có một nhà cung cấp. Không có gì sai khi cho phép người dùng chọn thứ họ muốn nếu họ biết và mặc định là OpenID , imo :)

ID mở là một trong những điều bạn yêu thích hoặc không thích ý tưởng này - tôi nghĩ rằng nó thực sự nắm bắt được ý tưởng về việc bạn xem tập trung vào "tính xác thực" một cách nhiệt tình hay hoài nghi.

Nói cách khác, khi bạn phát hiện ra một tài khoản trên một trang web openid bị xâm phạm, bạn có nghĩ, "oh sh! T, bây giờ tôi có khả năng bị xâm phạm trên mọi trang web tôi sử dụng openid đó" hoặc "oh tốt, bây giờ tôi chỉ phải thay đổi mật khẩu của tôi cho tất cả các trang web đó ở một nơi. "

Làm việc trong lĩnh vực này, chúng tôi kết thúc với nhiều thông tin đăng nhập khác nhau. OpenID cho phép tôi sử dụng một tài khoản đã được thiết lập để tự xác thực mà không cần phải thiết lập một tài khoản và mật khẩu khác. Với nhiều trang web bắt đầu hỗ trợ OpenID, có nhiều sự lựa chọn hơn trong đó trình xác thực OpenID mà bạn sử dụng để xác thực danh tính của mình.

Bạn cũng có thể thiết lập trình xác thực OpenID của riêng mình trên trang web của riêng bạn nếu bạn không muốn sử dụng một trong những trình xác thực đã tồn tại ngoài đó. Bằng cách này, bạn có thể duy trì quyền kiểm soát nhiều hơn đối với chính xác thông tin nào được cung cấp khi bạn được xác thực bởi thông tin đó.

Tôi nghĩ rằng có tùy chọn tạo tài khoản hoặc sử dụng OpenID để xác thực là một sự kết hợp tuyệt vời bao gồm cả sự hoang tưởng bảo mật và những người muốn dễ sử dụng.

Tôi nghĩ OpenID là tuyệt vời và chúng tôi đang xem xét nó cho trang web của chúng tôi. Tuy nhiên, chúng tôi cần oAuth và chúng tôi cũng muốn email từ người dùng. Chúng tôi sử dụng rộng rãi và một điều chúng tôi làm là gửi email một bản tin. Chúng tôi cho phép từ chối điều đó, nhưng để hệ thống của chúng tôi hoạt động, chúng tôi muốn điều đó.

Dường như có một nhóm các nhà công nghệ cốt lõi ghét bỏ người dùng / pwd, và tôi có thể hiểu điều đó. Một số người ủng hộ quyền riêng tư, và tôi hoàn toàn hiểu. Một số chỉ lười biếng, không muốn thiết lập người dùng / pwd, một số chỉ là người nhận. Họ muốn lấy thông tin từ Internet, nhưng không bao giờ trả tiền cho nó bằng mọi cách (bằng mọi cách (quảng cáo, chi phí, v.v.) Tôi nghĩ đó là thiểu số của mọi người vì hầu hết mọi người hiểu rằng họ cần đóng góp lại hoặc trả theo cách nào đó .

Bạn cần kiểm tra trang web của bạn, những chi tiết / thông tin bạn cần, và sau đó đưa ra quyết định nếu nó đáp ứng nhu cầu của bạn. Nếu có, bạn có thể thêm nó ngoài phương thức đăng nhập hiện tại. Bạn có cần liên hệ với mọi người, thông báo cho họ về những điều, vv

Có một cách trung tâm để xác thực bản thân là rất tốt, nhưng có những vấn đề, như đã đề cập, với sự thiếu thay đổi / phức tạp của mật khẩu. Tuy nhiên, đó là vấn đề của người dùng nhiều hơn là sự cố trang web. Một sự thỏa hiệp diễn ra ở cấp độ người dùng, điều mà chúng tôi sẽ không bao giờ giải quyết. Nhưng nó có nghĩa là bạn, với tư cách là chủ sở hữu trang web, không chịu trách nhiệm nếu điều đó xảy ra.

Vấn đề duy nhất tôi thấy với OpenID là như sau:

Hãy tưởng tượng hai trang web liên kết. Cả hai đều cho phép đăng nhập OpenID. Chắc chắn sau đó họ có thể chia sẻ số liệu thống kê hoạt động với nhau - giả sử tôi thực hiện hành động X và hành động Y trên trang web đầu tiên và sau đó, khi tôi truy cập trang web thứ hai, tôi bị bắn phá với quảng cáo được nhắm mục tiêu, theo các hoạt động của tôi trên trang web đầu tiên. Vì một số lý do, việc thiếu sự cô lập giữa các lần đăng nhập OpenID có vẻ hơi khó chịu với tôi.

Nhưng điều quan trọng là, sự tiện lợi tối đa của OpenID (một, hy vọng là an toàn, bộ thông tin xác thực) không bị lu mờ bởi nhược điểm đã nói ở trên. Tôi sử dụng OpenID bất cứ nơi nào tôi có thể và tôi đã phát triển một dịch vụ web cho mục đích sử dụng công cộng, tôi chắc chắn sẽ làm cho nó hỗ trợ OpenID (có lẽ với tùy chọn đăng ký thông thường).