13

我不是问具体的实现,也不是问跨站单点登录机制的全球世界观,我只是想知道社区对 OpenID 底层可用性的看法。您是否认为使用由(非技术观察者)随机提供的各种提供者发布的 URL 来代替实际的用户名是人们会喜欢的东西?如果没有,有没有人有更好的机制?如果有足够的兴趣,我将跟进一个更一般的 SSO 问题。

4

16 回答 16

16

不。

我不认为这是一个有根本缺陷的系统。在可用性方面,我会说它是有缺陷的,因为它背离了规范,而且更难习惯,即 URL 而不是用户名,必须选择提供商。但我认为它们是唯一的问题,并且可以并且正在做一些改进它们的事情(登录页面的可用性调整,雅虎和谷歌提高对这个想法的认识)。

除此之外,我认为这是一个很棒的系统:

  • 我记得一个账号ID密码组合(我不需要依赖软件解决很多ID->密码问题)
  • 我去新网站时不需要填写表格,等待注册电子邮件确认。
  • 如果我不信任 OpenID 提供者,我可以相对容易地成为我自己的提供者,我个人认为这是一个标准的伟大成就。制作如此多才多艺的东西,(AFAIK)对我来说很容易,真的很重要。
  • 当这两项工作变得越来越困难时,它将建立网站的责任与密码存储和安全性分离。
  • 我实际上对下一点了解不多,但我认为使用一个 OpenID 帐户来托管多个角色非常容易,这些角色可用于不同的网站,例如“这是我的工作角色,这就是我在注册时展示的内容为 ilovemyjob.com。这是我的朋友角色,我将其用于 facebook”,并且不同的角色具有与之相关的不同信息。就像我说的那样,我不太了解这是如何完成的,或者确切地说它为什么有用......但我会找出它可能有什么好处。

这就是我看到的 OpenID 的主要好处。就缺点而言,还有可用性方面,我承认这是一个问题。人们用来批评 OpenID 的另一个主要观点是,如果帐户被盗用,那么许多登录名都会被盗用。在我看来,这并不比当前将电子邮件绑定到帐户的系统更糟糕,这种系统可能会受到类似的损害,并用于“忘记您的用户名?” 在许多网站上运行。我还想指出,OpenID 并不是要解决这个问题——它是解决多个 ID/密码问题的方法。但是,拥有一个密码可以提供更大的许可来不断更新它以增加安全性 - 无需依赖软件为您记住它,或者一直忘记它。

所以,OpenID 有它的问题,但我会说它是解决多个 ID/密码问题的好方法。

参考资料:
关于这个主题的有趣的 Google Talk

于 2008-11-05T22:10:14.670 回答
14

是的。

首先,选择供应商很困难。如果我是一个经验不足的用户,我会问“为什么我需要与 X 共享我的信息才能使用 Y 运营的网站?” 然后,一旦你克服了这一点,你就必须选择信任谁来处理你的信息。我个人选择威瑞信,因为我信任威瑞信。但有些人可能从未听说过其中一些提供者,因此无法做出明智的决定。

其次,登录困难。我必须输入 URL,而不是输入用户名(尽管 StackOverflow 使您更容易选择提供者和提供者用户名,并为您创建 URL)。

第三,如果我的 OpenID 被盗用,那么我使用 OpenID 的网站上的所有帐户也会被盗用。有些人建议使用多个 OpenID 来克服这个问题,但我认为这违背了 OpenID 的全部目的。

于 2008-11-04T19:41:56.780 回答
9

我无法理解对 OpenID 的焦虑。

我登录这个网站的经历(诚然,我不得不处理的唯一开放 ID)很简单。我看到了 OpenID 所需的东西,我模糊地理解我登录该站点将被委托给我信任并且已经拥有 ID 的其他人。瞧,有一个链接指向我当前的在线电子邮件提供商的提供商。点击,遵循一个简单到我什至不记得做过的过程。

现在打开 id 连接已经建立,它并不比我处理的任何其他站点更困难,而且神奇的是我不必再向一个我不知道我会使用的站点添加另一个帐户再次,可能会忘记用户名或密码。

我喜欢它,概念和执行。

于 2008-11-05T22:31:15.300 回答
7

我之前已经说过了,我可能会再说一遍,但是 URL 的想法是一个根本有缺陷的想法。他们应该使用电子邮件地址格式或 username@service.com 的 Jabber 格式。这将允许现有的电子邮件提供商提供一个 ID,而无需用户记住一些神秘的 URL。

于 2008-11-04T19:40:15.490 回答
4

不,我不认为 OpenID 是一个有缺陷的概念。

如果您查看 OpenID 的历史,它最初的目的是允许人们通过他们在博客中拥有的 URL 来关联自己。这个想法被扩展并成为今天的单点登录系统。

我会说 OpenID 非常适合没有用户帐户来保存基本信息的网站,这对最终用户来说并不重要。因此,帮助评估您的漫画书收藏的漫画书网站可能是一个很好的例子。因为作为 OpenID 最终用户,您可以登录到该站点(无需创建另一个用户名/密码——可能与您创建的任何其他用户名/密码不同,因为系统上存在现有用户)并查看它们的工作方式。如果您喜欢它,那么您可以继续正常使用该系统。或者,如果您并不完全迷恋该网站,但决定稍后查看它们,那么与其尝试记住您在您认为可能不会返回的网站上使用的用户名和密码组合,这可能会令人沮丧。OpenID 完美地解决了这种情况。

话虽如此,我个人不会使用 OpenID 登录我的银行帐户,因为已经说明了许多关于重定向安全性的内容。然而,大部分情况正在发生变化,并且在通过属性交换(尤其是在日本)推进 OpenID 的安全性方面取得了很大进展。

许多人不知道的另一个注意事项是,您不需要使用 URL 来拥有 OpenID,有一种称为i-names的技术看起来更像是用户名,即我的 i-name 是“=true” ,这可能比输入“ http://true.myopenid.com ”之类的内容要容易得多。个人 i-name 每年的费用为 12 美元,因此这可能最初对某些人来说是一个障碍,但如果您想与他们一起玩,可以选择免费的替代品。

最后一点,OpenID 正在推广可发现性的概念(如果这是一个词的话)。这是一个似乎就在表面之下的概念。如果可以的话,可发现性就像协议级别的社交网络:)。该领域正在进行大量工作,我认为这将导致更好地实现 OpenID 或至少是 OpenID 的想法。希望这将为我们所有人带来更好的互联网。

免责声明我是 XRI TC 委员会的成员,经营一家专注于围绕 XRI 销售和提供服务的初创公司。

FreeXRI 不是我参与的创业公司。

于 2009-01-04T06:45:12.963 回答
3

谷歌似乎是这么认为的。他们最近进入 OpenID 空间,以及协议的后续分支,对这个问题有两点要说:

  1. OpenID 很有用,特别是当它与拥有大量用户的网站相关联时,这些网站可以支持大量用户并且可能不会吸引他们。当像谷歌这样的人或从事 OID 工作的人已经涵盖了身份验证系统时,为什么要重新发明轮子呢?
  2. 目前的 OpenID 很混乱,因为人们已经在许多参与的提供商那里拥有大量不同的用户名。然而,当 GMail 出现时,许多用户有一个很好的机会来获取他们自己的名字作为他们的电子邮件地址,并且他们可以创建无限数量的帐户。Google 似乎认为他们的帐户系统本身就足以满足所有 Open ID 用户的需求。我可能会同意这一点。
于 2008-11-04T19:38:00.737 回答
2

我不认为这是一个有缺陷的概念。我只是认为它是新的,人们不习惯它。

但是 OpenID 应该与本地注册系统一起使用,以便用户可以选择。告诉用户去 X.com 注册,然后再回到你的网站——这只是愚蠢和混乱。但是如果用户已经有一个 GMail/AOL/YMail/etc 帐户,那么让他们使用它是非常方便的。

我认为我们作为开发人员应该使用专门的登录表单。也就是说,而不是“输入您的 OpenID URL”,它应该是一个标准的“输入您的用户名”,他们可以选择 Gmail/AOL/YMail/etc,在幕后我们构建 URL。URL 作为登录名的想法有点倒退,因此欢迎帮助人们进行过渡。

于 2008-11-05T22:26:21.643 回答
2

将这种东西内置到浏览器中不是更好吗?

例如,您在浏览器的首选项中输入您的个人数据。然后网站可以通过 JavaScript 调用请求个人数据,浏览器会显示一个对话框,要求您确认。当然,JavaScript API 必须是标准化的。

这样用户就不必在任何地方注册,他的所有个人信息都存储在他自己的机器上。此外,确认消息看起来就像您的操作系统的其余部分,而不仅仅是您可能不信任的某个网站。

于 2008-11-04T20:01:17.927 回答
1

认为这些问题最好更具体而不是笼统。

对于您的问题,我认为它没有缺陷,但您是对的,它可能不会吸引某些人。但是,一旦人们得到它,就像理解它一样,那么他们可能会更多地使用它。记住更少的密码肯定是一件更好的事情,因为最终会使密码变得比应有的更弱。

于 2008-11-04T19:36:55.247 回答
1

在这样的场景中,您需要有一个唯一的 UserID。另一个选项可能是有效的电子邮件地址,但垃圾邮件是什么。

因此我更喜欢基于 URL 的 UserID。对我来说,OpenID(在我的例子中是 myOpenId)的可用性非常好。

于 2008-11-04T19:37:59.957 回答
1

是的。

仍然有多个登录。我必须去登录我的 OpenID 提供商,然后我必须去该站点并使用 OpenID URL 再次登录。No 想做更多的工作,而 OpenID 要做的工作更多。

我知道没有人不在使用 OpenID 的计算机领域。OpenID 仍然太复杂了。普通用户不需要被另一层抽象所迷惑。

还有跟踪 OpenID 用户去向的问题。我使用威瑞信,一个受信任的名称,但那些使用不太值得信赖的提供商的人呢?不,我不会点名并开始一场火焰战争。

有一个更好的答案,它被称为RoboForm(或众多仿冒品之一)。所有用户的密码和名称都保存在他们的机器上并被加密。它易于使用、更安全、更快速。

于 2008-11-04T19:40:45.253 回答
1

我认为一些 OpenID 实现还有很多不足之处。

我原以为雅虎会做对,但我认为他们的 OpenID 微型站点(信息和实施)是垃圾。布局令人困惑,他们没有明确说明 open-id 与用户标准 yahoo-account 的关系。

一旦我弄清楚需要哪个屏幕来启动我的登录请求,雅虎就会发布一个包含随机字符串的 OpenID 签名。stackoverflow 不接受这一点。我必须创建一个新别名,也必须将其设为默认选项。如果没有同样顽固的愿望去解决它,我认为很多用户会放弃。

在我看来,需要制定更严格的实施指南,并且需要大力宣传该活动以教育潜在用户。

也许该技术可以包含在浏览器实现中?

于 2008-11-04T19:45:58.287 回答
0

我不希望其他系统拥有我的应用程序 ID。

我得到了对用户更简单和更统一的概念。

但是,UserID 对网站访问者的体验至关重要,您不想将所有鸡蛋都放在一个篮子里(Microsoft Passport、OpenID 等)。如果情况发生变化,您就搞砸了所有用户帐户。

于 2008-11-05T21:29:03.910 回答
0

如果个人被盗或丢失,这最终不会危及个人的身份吗?这是我主要关心的问题。匿名有好处也有坏处。我相信两者兼而有之。我有一些亲密的朋友害怕加入 Facebook 社区,因为它是如此开放,如果数据库受到攻击,它就很容易成为目标。

于 2008-11-05T14:11:56.960 回答
0

我认为 OpenID 的某些方面会给许多用户带来可用性问题,但可能可以通过 UI 改进来解决。例如,对于大多数用户来说,一个URL几乎天生就无法使用。但是没有理由不能抽象,因此用户只需选择他们的提供者并输入他们在该提供者处使用的用户名。此外,必须去一个单独的位置登录是一个巨大的可用性问题,并且正确地向用户发出了关于他们向谁提供哪些数据的危险信号。这将更难解决。

于 2008-11-04T19:39:46.317 回答
0

这个概念很好,但是设计允许漏洞利用......

于 2009-04-23T11:36:09.643 回答