czy OpenID jest naprawdę taki zły?

Widziałem to pytanie na Quora, gdzie wielu ludzi zgadza się, że OpenID jest zły, nawet idąc tak daleko, że:

OpenID jest najgorszym możliwym „rozwiązaniem”, jakie kiedykolwiek widziałem w moim życiu na problem, którego większość ludzi tak naprawdę nie ma

Potem widziałem artykuły i tweety odnoszące się do tego pytania, mówiąc, że OpenID przegrał, a Facebook wygrał.

Smutno jest czytać, ponieważ podoba mi się OpenID (a przynajmniej pomysł za nim). Dosłownie nie znoszę uzyskiwania kolejnego loginu / hasła do strony (i tak zapomnę) - to dla mnie dość poważny problem i znam wiele osób z tym samym problemem. Dlatego pomyślałem, że OpenId to świetne rozwiązanie, ale nie jestem już pewien.

Pytanie brzmi: czy powinienem nadal zadawać sobie trud z implementacją OpenID, czy nie warto? Jaki jest najbardziej niezawodny i wygodny (z perspektywy użytkownika) sposób identyfikacji i uwierzytelnienia użytkownika?

Ta dyskusja zawsze pojawia się z powodu jednego, w dużej mierze ignorowanego faktu: OpenID nigdy nie został zaprojektowany jako protokół logowania. To późniejszy błąd.

OpenID został pomyślany jako usługa weryfikacji adresu URL strony głównej . I do tego było wykonalne. Ale z powodu braku alternatyw szybko zmieniono jego przeznaczenie na ogólny protokół logowania. Niektóre funkcje zostały opracowane na (prosty rejestr, wymiana atrybutów), aby to ułatwić. Ale u podstaw OpenID leży schemat weryfikacji uprawnień do adresów URL.

Stąd pochodzą błędy związane z użytecznością i wdrażaniem. Zaleta wielokrotnego logowania ma znaczenie tylko dla zaawansowanych użytkowników, a nie dla zwykłych użytkowników. (Nie zaczynaj od solidności; po prostu uratowałem mój login Stackoverflow.)
Ale wciąż nie ma szeroko rozpowszechnionej ani technicznie lepszej alternatywy (były pewne wcześniejsze OpenID, ale brakowało modnego hasła i wprowadzenia marketingowego). Jako zagorzały zwolennik otwartego oprogramowania, rozważałbym nawet paszport Microsofts lub Cardspace, cokolwiek innego, ale obecnie nie jest to możliwe.

Powrót do pytania: Trzymaj się OpenID. Dla zwykłych użytkowników należy umożliwić parom nazwa / hasło oldschool, a opcjonalne OpenID. Być może OpenID3 znajduje powszechne zastosowanie i rozwiązuje niektóre problemy. A może pojawia się coś innego. Ogólna idea tej koncepcji była fajna.

Nie możesz wdrożyć OBA?

Każdy wybiera opcję na podstawie swoich preferencji i stanu paranoi.

OpenID zapewnia dużą wygodę. Zapewnia również jeszcze większe zagrożenie bezpieczeństwa.

[Ryzyko użytkownika] Co jeśli Facebook / Google / itp. zdecydować, że Twoje konto zostało przejęte i musisz podać swój numer telefonu lub kopię paszportu, aby go ponownie włączyć? Poszedłbyś na to?

[Ryzyko firmy] Co jeśli Facebook / Google / itp. zdecydujesz się zamknąć usługę lub rozpocząć pobieranie opłat? Jako właściciel witryny jesteś poważnie wkręcony.

[Szpiegostwo danych] Dlaczego pozwalają im gromadzić szczegółowe statystyki z wielu witryn konsumenckich i pomagają im budować osobiste profile ludzi? Kto wie, co z tym zrobią? Sprzedać, użyć go, aby dostosować taktykę marketingową, przesłać do CIA?

Człowieku, to takie proste i proste - unikaj uzależnienia się od nikogo i sam decyduj, co i kiedy ci się stanie.

Właściwie uważam, że głównym problemem związanym z OpenID nie jest implementacja lub łatwość obsługi jest zła. Nie uważam też, że są to problemy bezpieczeństwa związane z OpenID. Myślę, że głównym problemem jest to, że jest to rozwiązanie problemu - problemu, który dla większości użytkowników i tak naprawdę nie jest wielkim problemem.

Lepszym rozwiązaniem problemu konieczności zapamiętywania wielu haseł itp. Jest użycie aplikacji do zarządzania hasłami. Menedżer haseł uprości nawet proces rejestracji, ponieważ automatycznie zapełni wszystkie wspólne pola (nazwa itp.) I automatycznie wygeneruje losowe hasło. Jedyną rzeczą, którą zazwyczaj musisz zrobić, to zweryfikować swój adres e-mail.

Problem z openid, lub bardziej ogólnie, z wyborem dostawców kont na stronie internetowej do logowania się na twojej stronie internetowej, polega na tym, że użytkownicy zapominają, który dostawca wybrał wcześniej. Pewnego dnia mogą korzystać z Google, w następnym miesiącu mogą korzystać z Facebooka, a trzy miesiące później może Twitter. W przypadku witryny będzie to wyglądało jak trzech różnych użytkowników. W takim przypadku użytkownicy są sfrustrowani, ponieważ mogą zalogować się do twojego systemu, ale nie na to samo konto, co poprzednio.

Główne problemy z OpenID, jak widzę, to dwa:

• A) Nie jest przyjazny dla użytkowników nietechnicznych
• B) Nie jest tak szeroko stosowany jak alternatywy

Na A dla użytkownika, który widzi przycisk „Zaloguj się przez Facebook”, jest łatwy i łatwy do zdobycia. Widzenie kontrolki z 10 ikonami (Google, Yahoo, AOL itp.) Jest mylące. Co więcej, fakt, że „login” jest adresem URL, wiele osób nie wie, że istnieje, ponieważ jedyne co robią, to wpisuje wyszukiwanie w Bing / Google i podąża za linkami. Znam wiele osób, które odwiedzając Facebooka, szukają Facebooka w Google i klikają link, nie próbuj wyjaśniać im pojęcia domeny!

Na B Facebook jest standardem. To trochę jak PayPal i alternatywy: w przypadku handlu elektronicznego PayPal może nie być najlepszą opcją pod względem ceny ze względu na opłaty za transakcje, ale jeśli nie korzystają z PayPala, ryzykują wielu potencjalnych klientów. Logowanie jest takie samo: Facebook otwiera twoją sieć 500 milionom użytkowników, którzy są aktywnymi użytkownikami Internetu i mają wystarczającą wiedzę techniczną, aby prawdopodobnie „dostać” twoją stronę. Szczerze mówiąc, dlaczego warto spędzać więcej czasu na wspieraniu innych rzeczy? Poświęć ten czas na rozwój produktu!

Z powodu B, A pogarsza się, gdy użytkownicy oczekują logowania na Facebooku, a Open Id bardziej ich myli.

I nie zaczynam od problemów omówionych już w Code Horror, dotyczących logowania użytkowników w tej samej witrynie przy użyciu różnych kont Open ID i problemów, które może to powodować ...

Podsumowując, podoba mi się pomysł na Open ID, ale (niestety?) Facebook zrobił to lepiej.