openid - metodo - token node
¿Cuál es el beneficio de usar SOLAMENTE la autenticación OpenID en un sitio? (15)
Según mi experiencia con OpenID , veo una serie de desventajas significativas:
Agrega un punto único de falla al sitio
No es una falla que puede ser resuelta por el sitio, incluso si se detecta. Si el proveedor de OpenID no funciona durante tres días, ¿qué recursos tiene el sitio para permitir que sus usuarios inicien sesión y accedan a la información que poseen?
Convierte a un usuario en otro contenido de sitios y cada vez que inicia sesión en tu sitio
Incluso si el proveedor de OpenID no tiene un error, el usuario es redirigido a su sitio para iniciar sesión. La página de inicio de sesión tiene contenido y enlaces. Por lo tanto, existe la posibilidad de que un usuario realmente se aleje del sitio para navegar por el agujero de conejo de Internet.
¿Por qué querría enviar a mis usuarios al sitio web de otra compañía?
[Nota: mi proveedor ya no hace esto y parece que ha solucionado este problema (por ahora).]
Agrega una cantidad de tiempo no trivial al registro
Para registrarse en el sitio, un nuevo usuario se ve obligado a leer un nuevo estándar, elegir un proveedor y registrarse. Los estándares son algo que las personas técnicas deben aceptar para que la experiencia del usuario no tenga fricciones. No son algo que deba inculcarse a los usuarios.
Es un sueño de Phisher
OpenID es increíblemente inseguro y robar la identificación de la persona cuando inicia sesión es trivialmente fácil. [tomado de la respuesta de David Arno a continuación]
Para todos los aspectos negativos, el único aspecto positivo es permitir a los usuarios tener menos inicios de sesión en Internet. Si un sitio tiene opt-in para OpenID, los usuarios que lo deseen podrán usarlo.
Lo que me gustaría entender es:
¿Qué beneficio obtiene un sitio para hacer que OpenID sea obligatorio ?
Agrega un punto crítico al error en el sitio
La tercera idea más alta en uservoice para es permitir el cambio del proveedor de OpenID. Y en los comentarios existe la sugerencia de permitir asociar más que en OpenID. En los sitios donde se pueden asociar OpenID múltiples con una cuenta si su proveedor de OpenID habitual no funciona, aún puede iniciar sesión con otro proveedor (suponiendo que ya lo haya asociado con el sitio).
Además, solo es un punto crítico de error para los usuarios del proveedor de OpenID que no funciona. Todos los demás usuarios de otros proveedores de OpenID pueden continuar registrándolo. Con el tiempo, esperaría que los usuarios migren a los proveedores más confiables.
Convierte a un usuario en otro contenido de sitios y cada vez que inicia sesión en tu sitio
Si ha configurado su proveedor de OpenID para confiar siempre en un sitio (o consumidor de OpenID en la nomenclatura) y ya ha iniciado sesión en su proveedor de OpenID, lo redireccionarán directamente al sitio sin que siquiera vea su sitio de proveedores de OpenID.
Agrega una cantidad de tiempo sin prueba al registro
Actualmente eso puede ser cierto, pero como dijo Andyuk, "Esto se convierte en un problema menor cuanto más sitios admiten OpenID". Esperaría que dentro de unos años la mayoría de los usuarios ya tenga un OpenID y sepa de qué se trata.
Alienta a los usuarios a suscribirse a OpenID, obtener más información al respecto y, con suerte, evangelizarlo ellos mismos.
demuestra que solo soporta OpenID puede funcionar.
"Agrega un punto crítico al error en el sitio"
En caso de que un proveedor de OpenID no funcione, el sitio debe tener un mecanismo que permita a los usuarios iniciar sesión y agregar / cambiar los proveedores de OpenID. Tal vez el sitio podría enviar un correo electrónico a un enlace temporal para eludir la seguridad para que los usuarios puedan acceder a su cuenta.
"Lleva a un usuario a otro contenido de sitios y cada vez que inicia sesión en su sitio"
Mi proveedor de OpenID me permite confiar en un sitio web dado, así que no necesito ni siquiera ver su sitio web.
"Agrega una cantidad de tiempo sin prueba para el registro"
Esto se convierte en un problema menor cuanto más sitios admiten OpenID.
Como desarrollador web, soy un gran admirador de la idea de OpenID. Escribir código de autenticación es un dolor en el culo. Como usuario de la web, soy un gran admirador de OpenID, para usos no críticos como SO, foros, etc., porque una vez que tiene la ID, es una forma muy simple de unirse a un sitio.
Creo que, salvo unas pocas excepciones, como una comunidad para desarrolladores, en este momento, no se puede forzar OpenID solamente. El usuario web "promedio" (lo que sea que eso signifique) no lo entiende. Sin embargo, promocionarlo en un sitio como este aumenta la conciencia entre los desarrolladores, y la idea eventualmente se derramará. A medida que OpenID aparece en más y más sitios, las personas lo verán, se darán cuenta de que tienen uno y luego comenzarán a usarlo. Para que OpenID, que es una gran idea, tenga éxito, es necesario que haya una masa crítica de usuarios y sitios que lo respalden.
Eventualmente, será "como es" y nos preguntaremos por qué alguna vez creamos un código de autenticación para cada sitio web que creamos, o por qué creamos una identidad única en todos los sitios en los que visitamos la Web.
El beneficio de hacer que OpenID sea obligatorio es simplemente que el código de inicio de sesión para el sitio web no necesita ser escrito (más allá de la integración con OpenID), y no es necesario tomar precauciones para almacenar las contraseñas de los usuarios, etc.
No tener su propio código de inicio de sesión también significa no tener que lidiar con una gran cantidad de problemas de soporte como el restablecimiento de contraseñas perdidas, etc.
Ciertamente, la mayoría de sus inconvenientes son válidos, así que supongo que se convierte en una compensación.
Lo que me sorprende es que no hay más sitios que formen una relación cercana con un proveedor de OpenID en particular para simplemente la fase de registro de la cuenta, es decir, un tipo de ''Puedes usar cualquier OpenID que te guste, pero también puedes crear uno ahora ingresando un nombre de usuario y contraseña, etc. página de inicio de sesión, que automáticamente crea una nueva cuenta con el proveedor seleccionado para usted.
Agrega punto crítico al error en el sitio
Ese punto crítico de falla podría ser el correo electrónico de confirmación que envía, pero el buzón del usuario es a) no disponible debido a un error tipográfico, b) completo o c) el proveedor está ''inactivo''.
Convierte a un usuario en otro contenido de sitios y cada vez que inicia sesión en tu sitio
Puedo ver eso, pero en mi humilde opinión, esto no es tan malo. Quiero decir, ¡Y! parece ser uno de los inicios de sesión más desordenados y tampoco funciona para mí. ;) Aparte, la mayoría de los proveedores de OpenID no se ven tan mal (todavía).
Además, tenga a su audiencia en mente. Si mamá y papá son sus usuarios, OpenID es probablemente confuso como el infierno. Pero probablemente también sea mucho en Internet. En el caso de SO, las personas son un tanto conocedoras de los usuarios y saben lo que quieren.
Agrega una cantidad de tiempo sin prueba al registro
Esto no es un problema. Mire la lista de proveedores: http://openid.net/get/
Tantas personas tienen al menos un Yahoo! cuenta, así que si realmente funcionó. No sería tan malo. Sin embargo, estoy de acuerdo con que si un usuario no tiene OpenID, y no sabe para qué sirve. No es tan fácil educarlos.
Y piense en la implicación: "para registrarse en el sitio A, debe registrarse en el sitio B". Y todos sabemos que registrarse per se es un dolor en el trasero. Pero a la larga, esto es exactamente lo que OpenID intenta abordar.
En la corriente principal, actualmente no veo valor para hacer que OpenID sea obligatorio. Aunque me gusta como complemento. De qué manera las personas proporcionan enlaces para "iniciar sesión con su Facebook", etc. Entonces las personas que no lo obtienen (o no les importa) no necesitan molestarse. Pero otros todavía pueden usarlo.
Una cosa para mencionar también. Ya tienes una base de usuarios con OpenID, solo necesitan iniciar sesión.
Como se discutió en uno de los podcasts, agrega una barrera a la entrada al que pasa, preguntándose si es allí donde deberían publicar su Yahoo! Pregunta de respuestas.
Es un tanto elitista, pero dado el enfoque de este sitio web en particular, es bastante aceptable rechazar a cualquiera que no pueda entender el proceso de Open ID, y cualquier persona que realmente tenga una pregunta real que necesita respuesta puede ser molestada para trabajar a través de cualquier leve dificultad.
La lista de inconvenientes echa de menos la más obvia: es el sueño de un phisher. OpenID es increíblemente inseguro y robar la identificación de la persona cuando inicia sesión es trivialmente fácil.
Matt Sheppard da en la cabeza en cuanto a la respuesta: el beneficio de usar OpenID es que implica menos problemas para el creador del sitio ya que no hay nombres de usuario y contraseñas que manejar y no se requiere código de creación de cuenta de usuario.
Estoy a favor de OpenID, principalmente desde una perspectiva de facilidad de uso. Todavía estoy convencido de su seguridad, pero tiene mucho potencial. Hay muchas cosas que se pueden decir sobre esto, pero solo quería responder a los siguientes dos puntos:
Agrega una cantidad de tiempo no trivial al registro
Solo la primera vez que se configura. Además, con compañías como Yahoo que brindan soporte ahora, muchas personas ni siquiera tendrán que molestarse en configurar un OpenID si no lo desean. Si utilizó Google o alguien similar como su proveedor de OpenID, ¿los vería como intrínsecamente inseguros? ¿Y con qué frecuencia esperarías que tuvieran tiempo de inactividad?
Es un sueño de Phisher
Yo acepto que esto podría ser parcialmente cierto. Pero, ¿el phishing no es más un problema social que tecnológico? OpenID podría hacerlo más fácil, pero eso no elimina el hecho de que el problema real es el usuario. Es mucho más importante hacer que los usuarios conozcan cómo operan los phishers que intentar protegerlos a través de la tecnología.
Al menos OpenID lo envía a su proveedor de OpenID para iniciar sesión.
Estaba leyendo un blog en blogspot y hay un enlace para seguir este blog (presumiblemente dime cuándo hay publicaciones nuevas) para hacer esto, aparece una ventana que solicita mi nombre de usuario y contraseña de Gmail.
Incluso asumiendo que esto es genuino y no un sitio de phishing, ahora (potentailly) tienen el inicio de sesión de mi Gmail, mis documentos de Google, mis aplicaciones de Google, ¡todo!
El beneficio principal de tener un OpenID se verá a largo plazo. En lugar de tener que solicitar una identidad para diferentes sitios, lo hace una vez y luego la usa en todos los sitios que requieren una identidad única. Por supuesto, para sitios seguros como la banca y el comercio necesitará un tipo diferente de pensamiento. Pero para los sitios de redes sociales y similares, puede usarlo fácilmente.
A mamá y a papá también les resultará fácil porque ahora tienen que recordar solo un nombre de usuario / contraseña. Muchas veces nos cuesta recordar qué inicio de sesión tenemos en qué sitio, y terminamos usando el nombre de usuario / contraseña correcto del Sitio A en el Sitio B. OpenID lo resolverá. Además, es un buen modelo de ingresos para un proveedor y usuario de OpenID. Puedo ingresar a uno de esos proveedores todos los detalles que estoy dispuesto a dar y cada detalle que doy puedo ganar dinero.
Tal vez el proveedor puede persuadirme para que le cuente más sobre mí mismo usando eso como un incentivo, que luego puede vender a los sitios con los que me registre. Entonces, el Sitio A paga mi información a OpenID. OpenID luego me pasa una parte de eso. El sitio A no tiene que administrar usuarios, OpenID obtiene dinero, el usuario obtiene dinero, todo el mundo está contento :)
De esta forma, no tendrá que hacer que OpenID sea obligatorio. La gente misma lo querrá. Los proveedores de OpenID entonces competirán entre ellos para proporcionar mejores servicios, y donde hay competencia habrá un mejor valor para todos los involucrados. Creo que es una idea fabulosa
Editar: con respecto a los tiempos de inactividad en un proveedor en particular; si el proveedor A de OpenID no está seguro de proporcionar un tiempo de actividad del 100%, puede necesitar la ayuda de otro proveedor B, y el usuario del Proveedor A puede elegir entre las opciones que el proveedor A brinda. El sitio que va al proveedor A para autenticar a un usuario sabrá a qué otros proveedores acudir en caso de que el proveedor A no esté funcionando. Esto se almacenará en su base de datos el primer inicio de sesión automáticamente. ¿Alguien quiere una lluvia de ideas sobre los detalles de implementación? :)
Es una buena forma de subcontratar una parte de su infraestructura. No tiene que preocuparse por las contraseñas perdidas, etc., alguien más lo hace por usted.
Aunque no estoy seguro de usarlo exclusivamente. No he usado OpenID lo suficiente para confiar completamente en él, y el proceso de registro debe simplificarse hasta que> 90% de los usuarios tengan un OpenID.
OpenID puede ser lo mejor desde que se cortó el pan, pero no se me ha dado ninguna razón para confiar en "ellos" mi identidad, aparte de que Jeff Atwood / Joel Spolsky me obligaron a hacerlo para quejarse aquí ;-)
Uno de los grandes beneficios de pasar OpenID-only desde una perspectiva de ingeniería es que al abstraer las credenciales, la pieza de autenticación permite a los usuarios elegir métodos de autenticación mucho más sofisticados que cualquier otro que se moleste en construir para su sitio. Sí, algunos proveedores de OpenID son fácilmente phishing. Por otro lado, otros usuarios de OpenID inician sesión con tarjetas de información, tokens de hardware o verificación telefónica, y estas son credenciales que no pueden ser capturadas y reproducidas por un phisher.
Como dijo Gabe Wachob:
Las personas que desean innovar en los métodos de autenticación [...] NO tienen que ser las mismas personas que innovan en la oferta de servicios en la web (cualquiera de un millón de personas que ejecutan Mediawiki, Drupal, etc.). Esa "desvinculación" de la innovación de autenticación y la innovación del servicio es lo que es valioso en OpenID.
Entonces, al usar OpenID, puede ofrecer a sus usuarios métodos de autenticación más sólidos. La abstracción le permite implementar una interfaz, y luego puede elegir cualquier proveedor con el que trabajar, ya sea que utilicen contraseñas de ocho caracteres en implantes neurales de desafío o respuesta clara.
A partir de mi experiencia con OpenID, veo una serie de ventajas importantes:
Si elige iniciar sesión con su proveedor de OpenID de confianza, p. Ej. Verisign PIP + VIP puede disfrutar del beneficio de los mecanismos de autenticación SecureID fuera de banda. Esto debe verse como el principal beneficio que supera a TODOS los demás. Ya no confía en la autenticación basada en formularios defectuosos en el sitio al que accede, confía en Verisign VIP o cualquiera que sea su elección de proveedor de OpenID.
Agujero de conejo de internet? Parece una mala implementación y, por mi parte, no sé a qué se refiere.
No se puede robar detalles de autenticación fácilmente, ¡se puede hacer más cerca de lo imposible de lo que ya tenemos! Puede engañarme para que crea que estoy contactando a mi proveedor, pero Verisign tiene la opción de no permitir ni aceptar redirecciones. Veo estos problemas de phishing como algo trivial también, especialmente si los comparas con los beneficios de los mecanismos de autenticación fuera de banda que puedes obtener a través de tu proveedor de autenticación OpenID. Por lo tanto, supongamos que ha infectado el detalle de la clave RSA una vez, no sería válido la próxima vez o tal vez sería totalmente inútil si dijera usar un certificado de navegador.
En conclusión, OpenID es solo la evolución del sistema actual, una dirección de correo electrónico contra la cual verificar. Si su cuenta de correo electrónico es su único punto de falla actual, entonces sí, su OpenID podría ser su nuevo punto único de falla en el caso en que el OpenID que usted controla ya no esté bajo su control. Por lo tanto, si solo confía en su servidor de correo electrónico, simplemente hospede su propia URL OpenID. Si confías en Gmail, utiliza una URL de Gmail para tu OpenID porque, por la misma razón, ya confías en Gmail como tu SSO ya que tu cuenta de gmail puede recuperar las contraseñas de tu cuenta.
No es pan comido, pero puedo ver que algunas personas pueden tener dificultades para entender los conceptos básicos de los mecanismos de autenticación. Si PUEDO iniciar sesión con mi tarjeta SecureID (a través de mi proveedor OpenID) en un sitio en el que tengo una cuenta, lo haría. Entonces, si fuera la única opción, ¡lo tomaré!