security - google - ¿Qué se necesitaría para hacer OpenID mainstream?

¿Quieres decir que todavía no está? ;)

Obviamente, muchas aplicaciones actualmente populares deberían ofrecerlo y dejar en claro que era una buena alternativa.

Si Google y Facebook lo hicieron una opción obvia, eso ayudaría.

En definitiva, la educación del usuario será realmente lo que lo haga. Dudo que a la mayoría de la gente le importe ... mudo sheeple.

Ciertamente ayudaría si más consumidores de OpenID también fueran proveedores de OpenID. Como desarrollador, me siento cómodo pasando por algunas contorsiones para descubrir que puedo crear una nueva ID en openid.org, pero el consumidor más convencional podría verse afectado fácilmente por el proceso.

Como alguien que principalmente programa aplicaciones web en Java, no puedo / no usaré OpenID porque el soporte de la biblioteca no está allí. JOID y openid4java son los únicos dos que conozco. Aparentemente, JOID no se mantiene activamente, sin incluir parches realmente importantes que han estado en la lista de correo durante meses; y openid4java requiere> 40 megabytes de dependencias externas, incluidas algunas que deben ir a la ruta de clase endosada, que es, como un usuario comentó , ridícula:

Comentario de witichis, 28 de abril de 2008

Descarga de 46 MB para una redirección simple y de / encryp: ¿estás borracho?

En mi opinión, OpenID no está mal. Consolida las credenciales de inicio de sesión. Soluciona un problema real, mientras que puede no ser la solución óptima. Los únicos dos problemas que puedo ver son que debe confiar en que el proveedor de identidad no permita que otra persona afirme ser usted y las partes confiantes (sitios web que registra en) puede coludir para vincular su identidad en múltiples sitios juntos.

Creo que requerirá una gran aceptación de un sitio que millones de personas usan; por ejemplo, MySpace pronto admitirá OpenID , por lo que ahora la cantidad de usuarios que admite OpenID acaba de aumentar en gran cantidad. Si más de los sitios de alta actividad en la red siguen este ejemplo, ¡ahí lo tienes!

Creo que tenemos que ver que OpenID se ofrece como un método de inicio de sesión más sitios web orientados al consumidor. Hay muchos sitios de consumidores grandes que se pueden usar como proveedores de OpenID, pero el único lugar donde recuerdo haber visto OpenID como inicio de sesión antes de es comentar en Blogger. Ser un proveedor es genial y todo, pero es prácticamente invisible para los consumidores. Ver un lugar real para usar OpenID, por otro lado, probablemente genere algo más de interés.

Los ISP deben proporcionar openIds a todos sus clientes que imitan sus direcciones de correo electrónico. Quizás openID necesite admitir la traducción automática de [email protected] a http://openid.example.com/foo para que los ISP puedan configurarlo fácilmente en un servidor diferente.

Los marcos web deberían venir con él como el predeterminado, a menos que tome mucho tiempo adicional para configurar una combinación simple de nombre de usuario / contraseña.

Los navegadores deben completar automáticamente los cuadros de inicio de sesión de OpenID para que no tenga que recordar su identificación.

Muchas de las respuestas hasta ahora parecen reducirse a dos opciones:

1. educación del usuario, y
2. forzar la adopción (muchos sitios cambian a openid de la autorización interna).

¿Es eso todo lo que podemos hacer? ¿Qué pasa con las herramientas distribuidas para facilitar que los usuarios ocasionales hagan una delegación abierta? (Digamos, algo integrado con OS X / Windows / Ubuntu) ¿Existen barreras tecnológicas que lo hacen inviable?

Si las aplicaciones del lado del cliente (y del proveedor) pudieran permitirle administrar sus preferencias de seguridad en línea, entonces posiblemente podríamos combatir algunos de los riesgos asociados con la asignación de contraseñas a los sitios aleatorios, ya que el "área de inicio de sesión" Sería algún programa local sentado en su systray, o qué no. Por supuesto, la integración de las aplicaciones web con el escritorio (como la proporcionada por Chrome) puede hacer que esa distinción sea imposible en la práctica, por lo que puede ser un punto discutible.

En cualquier caso, parece que debería haber algo que podamos hacer ahora para hacer que openid sea más aceptable para el público en general, y acelerar la adopción además de hacer que el sistema sea más fácil de usar.

No creo que se convierta en la corriente principal. Creo que Ted Dziuba lo hace bien cuando dice que resuelve un "problema" que la mayoría de la gente no considera que valga la pena resolver.

http://teddziuba.com/2008/09/openid-is-why-i-hate-the-inter.html

Tendrá que ser muchísimo más simple, con identificaciones más fáciles de recordar.

El hecho de que los sitios grandes acepten OpenID no es, por sí solo, suficiente para que sea general. Lo más parecido que he visto hasta ahora fue que LiveJournal aceptara y proporcionara la autenticación OpenID (lo que creo que ha estado haciendo durante bastante tiempo).

Pero creo que solo aceptar OpenID no es suficiente. Lo que realmente necesitamos es que más sitios como este se nieguen a crear su propio sistema de autenticación y requieran autenticación OpenID. Si la "próxima gran cosa" dice que tiene que usar su OpenID para iniciar sesión (con un asistente realmente simple para configurar una nueva identificación con otra persona), creo que la bola comenzará a rodar correctamente.

Los sitios que usan OpenID deben colocarlo en primer plano en la página de inicio de sesión. He visto muchos sitios ocultarlo detrás de un enlace en la página de inicio de sesión / registro estándar de esta manera:

Nombre de usuario:

Contraseña:

o usa tu OpenID

Tiene que ser mucho más simple: implica menos conocimiento de los conceptos y requiere menos pasos, preferiblemente cero. Cuando la tecnología funciona con poca o ninguna asistencia, despegará.

La mecánica de las credenciales, proveedores y proveedores de OpenID no debería exponerse al usuario. La gente habla de educar a las masas de usuarios de Internet, pero eso nunca sucederá: las masas nunca dejan de ser estúpidas. Si desea atraer a las masas, debe reducir la tecnología para cumplir con su nivel en su lugar. Cuando un sitio afiliado a Google detecta que ha iniciado sesión en Google y usa esa cuenta silenciosamente, funciona sin que usted tenga que decirle quién es usted. El hecho de que OpenID sea tan torpe en comparación es la razón por la cual los grandes proveedores como Google todavía lo están evitando, y por qué el público en general no lo adoptará.

Creo que los desarrolladores de OpenID se equivocaron cuando usaban una URL en lugar de una dirección de correo electrónico para las ID. Las personas saben cuáles son las direcciones de correo electrónico, ya tienen una asociada (o pueden obtenerla fácilmente), y los proveedores de correo electrónico como Google y Microsoft están felices de adoptar un rol como portales. De hecho, una traducción automática de la dirección de correo electrónico a la URL es todo lo que se necesitaría:

[email protected] -> http://www.example.com/openid/myname

Hazlo menos abierto.

No quiero la misma identidad en múltiples sitios. No quiero tener que crear una cuenta de flickr antes de que me permita publicar. No es necesario crear una nueva cuenta de flickr para cada sitio web con el que me quiero registrar.

Elegir un proveedor debe ser mucho más simple.

En la actualidad no hay forma de saber qué tan confiables, confiables o seguros son cualquiera de ellos, o cuáles seguirán existiendo dentro de 6 meses.

No será convencional, ya que es demasiado esfuerzo y es demasiado confuso para quienes usan la dirección de correo electrónico y la contraseña.

Por ejemplo:

Para iniciar sesión en con Opera, tengo que hacer clic en iniciar sesión, seleccionar myOpenID en la lista, escribir mi nombre de usuario, presionar Enter, presionar Ctrl + Enter para rellenar automáticamente la contraseña en el sitio myOpenID, luego presionar el botón Continuar.

Para iniciar sesión en cualquier sitio normal con Opera, solo presione Ctrl + Enter para autocompletar el combo usuario / pase guardado.

Tomará todos los sitios populares que lo soportan y lo hacen transparente para el usuario.

"Puede hacer una cuenta de uso aquí, o si usa MySpace, Google Mail, Hotmail, etc. entonces puede iniciar sesión usando OpenID".

No lo venda como un nuevo servicio, véndalo como que puede iniciar sesión con una identificación diferente de otro sitio.

El problema, sin embargo, es que con todos los que lo soportan, cada usuario ahora tendrá un id de myspace, id de Google, etc. Ahora, si firman en con su id de myspace y luego con google, pueden quedar perplejos de que no los reconoce. .

Me pregunto si Openid tiene una solución para enlazar cuentas abiertas así que son una y la misma. Dudo que la tecnología lo permita, ya que son esencialmente autoridades de firma independientes. Google tendría que compartir datos con Myspace y viceversa para permitir que ...

Estoy investigando OpenId en este momento para integrarme en un sitio de inicio para que pueda administrar el proceso de inicio de sesión de mi sitio.

Creo que para hacer esta transmisión principal necesitan hacer esto muy simple. Copie y pegue el código en su sitio y carga el formulario de inicio de sesión que le brinda más o menos lo que hace .com.

Creo que también puedes estilizar el diseño del formulario para que sea más reconocible.

Personalmente, no creo que deba ser mainstream en absoluto, fue una idea interesante, pero ya no es relevante.

Cuando creo un inicio de sesión normal, escribo mi nombre de usuario, contraseña maestra y hago clic en el marcador de SuperGenPass. Eso es todo, cuando tuve que registrarme en tuve que encontrar un proveedor de OpenId, registrarme allí (lo cual demoró para siempre) iniciar sesión en mi sitio web y configurar mi delegación, luego agregar a mi lista de sitios.

Y ayer no pude ingresar porque había eliminado el archivo de mi servidor y tenían algún problema de seguridad.

Conclusión: No use openid.

Lo usaría si pudiera hacerlo por sitio y agregar la identidad más adelante en mi propio tiempo y términos. Tal como están las cosas, es un dolor en el culo incluso encontrar un proveedor decente de OpenID; decente quiero decir .com no es uno, así que no voy a molestarme.