OpenID có thực sự tệ đến vậy không?


31

Tôi đã thấy câu hỏi này trên Quora nơi nhiều người dường như đồng ý rằng OpenID là xấu, thậm chí còn đi xa đến mức nói rằng:

OpenID là "giải pháp" tồi tệ nhất mà tôi từng thấy trong suốt cuộc đời mình cho một vấn đề mà hầu hết mọi người không thực sự gặp phải

Sau đó, tôi đã thấy các bài báo và tweet tham khảo câu hỏi đó nói rằng OpenID đã thua và Facebook đã thắng.

Thật buồn khi đọc vì tôi khá thích OpenID (hoặc ít nhất là ý tưởng đằng sau nó). Tôi thực sự ghét nhận được một thông tin đăng nhập / mật khẩu khác cho trang (dù sao tôi cũng sẽ quên nó) - đó là một vấn đề khá nghiêm trọng đối với tôi và tôi biết nhiều người có cùng một vấn đề. Vì vậy, tôi nghĩ rằng OpenId là một giải pháp tuyệt vời nhưng tôi không chắc nữa.

Vì vậy, câu hỏi là tôi vẫn nên bận tâm triển khai OpenID hay nó không xứng đáng? Cách mạnh mẽ và thuận tiện nhất (từ góc độ người dùng) để xác định và xác thực người dùng là gì?


7
OpenID có những sai sót, nhưng vì tôi chưa nghe thấy điều gì tốt hơn để thay thế nó, tôi sẽ không nói rằng nó bị mất. Facebook không phải là một giải pháp thay thế cho OpenID, vì nó tập trung và nhiều người chỉ đơn giản là không muốn có tài khoản facebook. Có đáng nỗ lực không? Theo ý kiến ​​chủ quan của tôi, nó là.

Câu trả lời:


13

Cuộc thảo luận này luôn được đưa ra do một thực tế bị bỏ qua phần lớn: OpenID không bao giờ được thiết kế như giao thức đăng nhập. Đó là một sự phân phối sai lầm sau này.

OpenID được hình thành như dịch vụ xác minh URL trang chủ . Và cho rằng nó là hoàn toàn khả thi. Nhưng do thiếu các lựa chọn thay thế, nó đã nhanh chóng được chuyển thành giao thức đăng nhập chung. Một số tính năng đã được tạo ra (reg đơn giản, trao đổi thuộc tính) để tạo điều kiện tốt hơn. Nhưng cốt lõi của OpenID là một lược đồ xác minh quyền hạn URL.

Đây là khả năng sử dụng và sai lầm thực hiện đến từ. Lợi thế đa đăng nhập chỉ có ý nghĩa đối với người dùng kỹ thuật, không phải là sự đơn giản hóa thực sự cho người dùng thông thường. (Đừng để tôi bắt đầu mạnh mẽ; chỉ cần cứu vãn thông tin đăng nhập Stackoverflow của tôi.)
Nhưng vẫn không có giải pháp thay thế phổ biến hoặc vượt trội về mặt kỹ thuật (đã có một số OpenID trước đó nhưng thiếu thông điệp tiếp thị và tiếp thị). Là một người hỗ trợ nguồn mở khao khát, tôi thậm chí sẽ xem xét microsofts Passport hoặc Cardpace bất cứ điều gì có liên quan đến nó, nhưng hiện tại nó không phải là một lựa chọn.

Quay lại câu hỏi của bạn: Bám sát OpenID. Đối với người dùng thông thường, có thể tạo các cặp tên người dùng / mật khẩu oldschool và OpenID tùy chọn. Có thể OpenID3 tìm thấy việc áp dụng rộng rãi và khắc phục một số vấn đề. Hoặc có thể một cái gì đó khác đi cùng. Ý tưởng chung đằng sau khái niệm này thật tuyệt.


Đó là một sự thật thú vị, tôi không biết điều đó. Cảm ơn câu trả lời của bạn Như tôi đã đề cập trước đây tôi sợ rằng việc triển khai 'mọi thứ' (theo nhận xét của tôi trên bài đăng @DeveloperArt) sẽ khiến người dùng sợ hãi và / hoặc nhầm lẫn nhưng có lẽ tôi đã nhầm và nếu làm tốt thì đây là giải pháp tốt nhất?
DoPPler

11

Bạn không thể thực hiện CẢ HAI?

Mọi người chọn tùy chọn dựa trên sở thích và trạng thái hoang tưởng của mình.

OpenID cung cấp sự tiện lợi tuyệt vời. Nó cũng cung cấp rủi ro bảo mật thậm chí còn lớn hơn.

[Rủi ro người dùng] Điều gì xảy ra nếu Facebook / Google / vv. quyết định tài khoản của bạn đã bị xâm phạm và bạn cần cung cấp số điện thoại hoặc bản sao hộ chiếu để có thể nhận được? Bạn sẽ đi cho nó?

[Rủi ro công ty] Điều gì xảy ra nếu Facebook / Google / v.v. quyết định đóng cửa dịch vụ của họ hoặc bắt đầu tính phí cho nó? Sau đó, với tư cách là chủ sở hữu trang web, bạn sẽ gặp rắc rối lớn.

[Gián điệp dữ liệu] Tại sao để họ thu thập số liệu thống kê chi tiết từ nhiều trang web của người tiêu dùng và giúp họ xây dựng hồ sơ cá nhân của mọi người? Ai biết họ sẽ làm gì với nó? Bán nó, sử dụng nó để điều chỉnh chiến thuật tiếp thị của họ, nộp cho CIA?

Man, nó rất cơ bản và đơn giản - tránh bị phụ thuộc vào bất cứ ai và tự quyết định điều gì sẽ xảy ra khi nào và nếu điều đó xảy ra với bạn.


Tôi có thể đi và thực hiện cả hai, đó là sự thật. Tôi có thể thêm hỗ trợ cho bất kỳ nhà cung cấp OpenID nào qua URL, sau đó liệt kê 3-4 nhà cung cấp phổ biến nhất, sau đó thêm hỗ trợ OAuth cho Facebook và Twitter và sau đó thêm biểu mẫu đăng nhập / mật khẩu / đăng ký email / đăng ký cũ của riêng tôi cho người dùng đừng bận tâm đến một mật khẩu khác. Điều tôi không muốn làm người dùng sợ hãi - tôi chỉ muốn họ có thể đăng nhập nhanh chóng. Đối với các rủi ro bảo mật được đề cập - chúng có thực sự lớn như vậy không?
DoPPler

Xác suất xảy ra của chúng không lớn, nhưng nếu chúng xảy ra thì hậu quả của chúng sẽ rất lớn.

4
Dù sao, hãy nhớ rằng nhiều người không có tài khoản Facebook và sẽ không tạo tài khoản. Thật không khôn ngoan khi từ chối họ truy cập.

Nhiều điểm hay ở đây @Developer Art về việc không phụ thuộc vào một nhà cung cấp duy nhất, cho doanh nghiệp và cho một cá nhân. Các hệ thống bình luận của Disqus và Wordpress đã nhận ra rằng, họ cung cấp cho quản trị viên (và người dùng) một lựa chọn về OpenID, Yahoo, Google, Facebook, Twitter, có thể hơn thế nữa. Và cung cấp cơ hội để liên kết ID nhưng không yêu cầu nó. Điểm tốt thứ 2: Tránh để một thực thể tổng hợp thông tin của bạn! Thật vậy. Nó có thể xảy ra dù sao đi nữa. Tại sao làm cho nó dễ dàng hơn bằng cách sử dụng cùng một nhà cung cấp mỗi lần? Ngoài ra: tất cả Facebook, CHỈ thế giới Facebook KHÔNG phải là giải pháp! Ước gì tôi có thể cung cấp cho bạn nhiều upvote.
Ellie Kesselman

Đối số của bạn chống lại OpenID thực sự là đối số cho OpenID! Bất cứ ai cũng có thể khởi chạy thẩm quyền OpenID của riêng họ. Tôi không phải tạo tài khoản Google hoặc Facebook để đăng nhập vào trang web sử dụng OpenID. Giờ đây, Google đã rút phích cắm trên OpenID như một cách để quảng bá dịch vụ Google+ của họ, những người khác cũng có thể cũng vậy và chúng tôi đã thua cuộc trong một tiêu chuẩn thực sự mở để đăng nhập vào các trang web.
Brad

5

Trên thực tế, tôi nghĩ rằng vấn đề chính với OpenID không phải là việc triển khai hay tính thân thiện với người dùng của nó là xấu. Tôi cũng không nghĩ đó là vấn đề bảo mật với OpenID, per-se. Tôi nghĩ vấn đề chính là đó là một giải pháp tìm kiếm vấn đề - một vấn đề mà đối với hầu hết người dùng, thực sự không phải là vấn đề lớn.

Một giải pháp tốt hơn cho vấn đề phải nhớ nhiều mật khẩu, v.v ... là sử dụng ứng dụng quản lý mật khẩu. Trình quản lý mật khẩu thậm chí sẽ đơn giản hóa quy trình đăng ký cho bạn, vì nó sẽ tự động điền vào tất cả các trường chung (tên, v.v.) và tự động tạo mật khẩu ngẫu nhiên. Về điều duy nhất bạn sẽ phải làm, thông thường, là xác minh địa chỉ email của bạn.


Điều này rất gần với ý kiến ​​chung của Quora, nhưng tôi đã nghe nó nhiều lần từ cả những người bạn kỹ thuật và không có kỹ thuật của tôi rằng họ có vấn đề với việc theo dõi nhiều mật khẩu nên tôi không nghĩ đây là một vấn đề "không tồn tại" (tuy nhiên nó có thể ít gây phiền toái hơn tôi tạo ra). Chắc chắn sử dụng trình quản lý mật khẩu là một số giải pháp (không phải là không có lỗi), nhưng tôi đang tìm kiếm một công nghệ mà tôi có thể thực hiện để giúp khách truy cập của mình có trải nghiệm hát tốt hơn.
DoPPler

1

Vấn đề với openid, hay nói chung hơn, với việc lựa chọn nhà cung cấp tài khoản trên trang web để đăng nhập vào trang web của bạn, là người dùng có xu hướng quên nhà cung cấp mà họ đã chọn trước đó. Một ngày họ có thể sử dụng google, tháng sau họ có thể sử dụng facebook và ba tháng sau có thể là twitter. Đối với trang web, nó sẽ trông giống như ba người dùng khác nhau. Trong trường hợp như vậy, người dùng sẽ nản lòng, vì họ có thể đăng nhập vào hệ thống của bạn, nhưng không vào cùng một tài khoản như trước đây.


1
Bạn có chắc chắn về điều đó? Tôi đã tự hỏi điều tương tự ngay khi tôi nghe về OpenID lần đầu tiên. Tôi đã thử kiểm tra bản thân mình, xem những gì bạn mô tả là đúng. Đôi khi, giống như tại StackExchange, với việc triển khai OpenID. Nhưng các trang web khác thực hiện chính xác việc liên kết với các lần đăng nhập trước đây hoặc hỏi xem tôi có tài khoản trước hay không và chỉ ra nhà cung cấp OpenID trước đây theo cách chung. Có lẽ đó là do đăng nhập OpenID-OAuth kết hợp? Tôi không biết. Nhưng tôi đồng ý với bạn, người dùng KHÔNG quên nhà cung cấp nào họ đã chọn trước đó! Đó là một vấn đề thực sự.
Ellie Kesselman

0

Các vấn đề chính với OpenID, như tôi thấy, là hai:

  • A) Nó không thân thiện với người dùng cho những người không có kỹ thuật
  • B) Nó không được sử dụng rộng rãi như các lựa chọn thay thế

Trên A, đối với người dùng thấy nút "đăng nhập bằng facebook" rất dễ dàng và đơn giản. Nhìn thấy một điều khiển với 10 biểu tượng (Google, Yahoo, AOL, v.v.) thật khó hiểu. Thậm chí, thực tế là "đăng nhập" là một URL, điều mà nhiều người không biết nó tồn tại vì tất cả những gì họ làm là nhập một tìm kiếm trong Bing / Google và theo các liên kết. Tôi biết nhiều người rằng khi họ vào Facebook, họ tìm kiếm Facebook trên Google và nhấp vào liên kết, đừng cố gắng giải thích khái niệm tên miền cho họ!

Trên B, Facebook là tiêu chuẩn. Nó hơi giống PayPal và các lựa chọn thay thế: đối với thương mại điện tử, PayPal có thể không phải là lựa chọn tốt nhất về giá do các khoản phí giao dịch, nhưng nếu họ không sử dụng PayPal, họ sẽ gặp rủi ro với nhiều khách hàng tiềm năng. Về đăng nhập là như nhau: Facebook mở trang web của bạn tới 500 triệu người dùng là những người dùng internet tích cực và đủ hiểu biết về công nghệ để có thể 'lấy' trang web của bạn. Thành thật mà nói, tại sao bạn nên dành nhiều thời gian hơn để hỗ trợ những thứ khác? Dành thời gian đó để phát triển sản phẩm!

Do B, A trở nên tồi tệ hơn khi người dùng mong đợi thông tin đăng nhập Facebook và Open Id khiến họ bối rối hơn.

Và tôi không bắt đầu với các vấn đề đã được thảo luận trong Code H khiếp sợ về việc người dùng đăng nhập vào cùng một trang với các tài khoản Id mở khác nhau và các vấn đề này có thể gây ra ...

Nói chung, tôi thích ý tưởng về Open ID, nhưng (thật đáng buồn?) Facebook đã làm nó tốt hơn.


4
Tôi đã thấy nhiều triển khai thực sự xấu. Nhưng theo tôi, việc triển khai trên Stack Exchange là khá tốt. Bạn có thể có thể tiến thêm một bước và làm cho trải nghiệm rất giống với 'đăng nhập bằng trải nghiệm của Facebook' (Google và Yahoo cũng hỗ trợ một số loại lai OAuth hoặc OpenID / OAuth). Tôi hoàn toàn đồng ý với thực tế là việc nhìn thấy nhiều nhà cung cấp có thể gây hiểu lầm và gây ra một số vấn đề khác, nhưng mặt khác lại giúp người dùng của bạn linh hoạt nhất (tôi cũng biết những người không sử dụng Facebook).
DoPPler

Việc tôi phải đăng nhập mỗi khi tôi đến một chi nhánh khác của SE khiến tôi cảm thấy việc triển khai kém. FFS, nếu tôi đã sử dụng OpenID của mình để đăng ký tại SO và Prog, tại sao tôi phải đăng nhập cả hai trong cùng một lần truy cập? Đây là tiến bộ?!?
vẽ
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.