57

您会看到很多关于 OpenID 的信息(无论如何,在 Geek 社区中)。这似乎是个好主意。我正在开发一个网站,该网站将针对不那么极客的受众(但也不完全是妈妈和流行音乐),所以我不得不怀疑 OpenID 对某些受众来说是否“太难”了。

你怎么看?除此之外,还有其他不使用 OpenID 的技术或非技术原因吗?

4

17 回答 17

70

说一般人不懂 OpenID 可能有点不准确。

在大多数情况下,通过一些有说服力的营销(即“在所有站点上使用一个登录名!!!11!)他们可以理解它允许他们使用一个登录名登录站点,而不是在站点上使用一堆不同的用户名和密码。不同的网站。

然而,问题在于,对于普通用户而言,整个 OpenID 体验与他们认为的在线安全背道而驰。

  • 用户不会自动信任它

    通过正常的用户名/密码登录,用户明白密码应该保密,这就是在他们登录网站时保护他们的隐私的方法。他们如何理解 OpenID 客户端站点和他们的 OpenID 提供者之间进行的交换?他们所知道的是他们不必输入密码(假设他们在他们的 OpenID 提供商处“始终登录”) - 所以它不安全,对吧?我的意思是,在用户的眼中,如果他们不提供密码,怎么能安全呢?这可能导致用户不信任。

  • 它使网络钓鱼变得容易

    (许多)用户知道为不同的帐户重复使用相同的密码是错误的,但这似乎正是 OpenID 正在做的事情。如果用户只是假设他们所有的 OpenID 提供商正在与所有参与的站点共享他们的密码怎么办?我的意思是,OpenID 还能如何在所有这些网站上“为他们登录”?如果用户假设通过 OpenID,所有参与的 OpenID 站点都知道他们的密码,他们可能会认为向任何这些站点提供此密码是非常合理的。这是网络钓鱼的噩梦。想象一下将这句话放在您的网站上:“请输入您的(某些 OpenID 提供商)用户名 [ ] 和密码 [ ]”。你已经在钓鱼了。

    我们也不能忘记,即使出于稍微不同的原因,用户在某一方面的怀疑也是正确的:如果有人获得了他们的 OpenID 提供者的访问权限,他们就可以在他们使用过的所有站点上访问他们的身份。身份,这与在多个站点使用相同密码的缺点相同。

  • 与用户理解的偏差太大

    在不同站点拥有多个用户名/密码对于用户来说并不难理解。用户很了解用户名和密码的概念,因为他们已经习惯了,而且安全性(密码是秘密的事实)对他们来说非常明显。密码的工作原理非常清楚。拥有多个用户名和密码组合不会使这变得更加混乱或复杂 - 它只是同一件事,但不止一个。虽然记住多个密码可能很困难,但用户至少知道如何做到这一点,以及它是如何工作的。

    OpenID 试图解决记住多个密码的问题,但在此过程中,它创建了一种全新的范式,对用户完全不透明。与密码的安全性是显而易见的(它必须是秘密的)不同,OpenID 的所有安全性都在幕后进行,站点相互通信、密钥和哈希等。用户不再完全了解他们的隐私受到保护或对谁保密,因为他们不了解系统是如何工作的。因此,为了解决记住多个密码的问题,OpenID 创建了一个神秘的密钥交换系统,这违反了用户对身份验证如何工作以及为什么它是安全的整体理解。

于 2009-03-01T15:52:32.610 回答
44

普通用户仍然不了解 OpenId 是什么,它的用途,或者如何使用它。例如,我的父母将无法登录 Stack Overflow。

话虽这么说,这主要是关于用户界面。没有什么本质上阻止他们使用 OpenId - 他们只需要一个从他们那里抽象出 OpenId 的用户界面,并让他们使用他们的 Google 帐户登录(例如)。

于 2009-01-04T00:10:30.000 回答
19

OpenID 非常容易受到网络钓鱼的攻击。如果您运行 OpenID 站点,请尝试在一天内更改登录页面以请求标识符密码,而不是仅请求标识符并重定向到 OpenID 提供程序以请求用户密码的正常方法。我敢打赌,您可以通过这种方式获得超过四分之一的用户密码。

于 2009-01-04T18:19:41.517 回答
12

是的安全。使用 OpenId 会让您任由他们管理他们的帐户。您无法控制密码安全性和用户 ID。您信任某个其他组织来验证访问您网站的人是否是他们所说的人。如果您需要真正验证某人是否是他们所说的人。如果不自己进行某种二次验证,您将无法通过 open id 获得该信息。在这种情况下,您最好不要使用 OpenId。

http://www.computerworld.com/s/article/9179224/Researchers_Password_crack_could_affect_millions

于 2009-01-03T23:37:44.993 回答
9

这经常出现。

一个好的规则:

如果您需要收集和保留私人的个人身份信息,请不要使用 OpenID。

如果您不需要收集和保留私人的个人身份信息,请继续提供 OpenID 作为登录方法。

对于电子商务或其他任何需要遵守 PCI/DSS 认证的地方,我不会使用 OpenID。

我不介意 SO 完全是 OpenID,但是我不会创建一个专门使用它的网站。

于 2009-03-01T16:07:50.233 回答
6

  1. 界面很糟糕。

    一种。使用 OpenID 注册需要更多​​时间和技巧。正常注册需要很少的时间或精明。注册只进行一次,但这是一笔巨大的前期投资,因此该网站必须非常引人注目。

    湾。登录涉及:三条数据而不是两条;两个网页而不是一个(实际上是 StackOverflow 的三个);和一个外部网站。每次。

    C。这种解决方案有更好的接口。例如,我使用 KeePass。

  2. 名称冲突。没有办法确保名称的唯一性。

  3. 安全是可怕的。

    一种。它鼓励类似网络钓鱼的行为。它不像“Visa验证”那么糟糕,但它已经接近了。

    湾。单点故障:如果你失去任何东西,你就会失去一切。KeePass 至少允许我对密码进行物理保护(您必须拥有带有加密数据库的硬盘驱动器)。

    C。跨站点跟踪。信用卡公司实际上已经制定了规则来管理他们允许进行多少跟踪。在现代浏览器中可以选择性地禁用或阻止 Cookie。OpenID 没有规则,也没有管理者。

  4. 它实际上不是通用的。谷歌提供 OpenID ......但不使用它们。雅虎也一样。对于美国在线。OpenID 提供者没有动机允许使用来自其他提供者的 OpenID。

  5. OpenID 可用于身份验证,但不适用于授权,特别是对于任何敏感的事物(例如信用卡)。

就我个人而言,我为每个站点使用一个登录名/密码,并使用 KeePass(我可以对其进行物理保护,并使用必须破解的两层密码)来维护一次登录无处不在的抽象。

这包括 StackOverflow:我专门为你们创建了一个 OpenID,我永远不会在其他任何地方使用它。我这样做了,我忍受了登录的痛苦,因为内容很吸引人。

但是,如果曾经为 StackOverflow 提供了一个真正的身份验证方法,我会立即跳上它,只是为了便于使用。

于 2009-09-30T18:03:38.753 回答
5

OpenID 仍然与其他所有基于密码的身份验证方法一样不安全。事实上,更糟糕的是,如果有人获得了您的 OpenID 的访问权限,他们现在拥有的不仅仅是一个帐户。当然也有网络钓鱼攻击,但我们都是精明的程序员、数据库和系统管理员,所以我们不会上当,对吧?

身份验证安全性基于信任。正如其他人指出的那样,您为什么要信任第三方来获取潜在的敏感信息?当然,您可以自己设置 OpenID 服务器,但这与在多个系统上维护单独的密码相比有多少麻烦?当然,您可以创建长且充满非字母数字字符的安全密码,甚至将它们全部存储在密码管理器中(我这样做),但有些网站存在缺陷,因为可以填写简单的密码恢复表格以获得访问以重置密码。

如果 OpenID 确实保护了基于私钥的身份验证(如 SSH 或 PGP),我可能会倾向于支持甚至宣传它。也许这是提供这种方法的提供商的问题 - 我还没有调查过它。

最后,虽然我们都足够信任 OpenID 以使用它在 Stack Overflow 上进行身份验证,但我的 OpenID 是一个“一次性”,它不像我将它用作专业声誉建设工具(即,我的真实姓名不参与其中;-))。我敢肯定我不是唯一一个(就像这个网站一样酷和棒!)。

于 2009-01-05T08:07:31.487 回答
3

如果所有站点都使用 OpenID,它就很好。但是注册 OpenID 只是为了使用一个站点,这有点过分了。注册到 OpenID 不像直接在站点中注册(从消费者的角度来看)那么简单。

于 2009-01-03T23:38:12.357 回答
3

阅读这个主题对我来说很有趣,它完全反映了我对 OpenID 的体验:

StackOverflow.com 是我获得 OpenID 的原因。
许多谷歌搜索把我带到了这个网站,我永远无法发表评论。
想了很多次注册,但是因为OpenID没有注册。我不清楚它到底是什么。
但是有一天,我决定注册并花了我一段时间,但我不后悔,因为我每天都在使用它。它给了我一种更安全的感觉,尽管我知道它只是一个帐户,如果它被网络钓鱼会导致很多问题。

所以对我来说,OpenID 是一种在我不知道的网站上快速登录的好方法,但也可以在 StackOverflow.com 等更大的网站上
登录OpenID实际上是。

于 2010-01-02T13:27:07.713 回答
3

我今天看到一篇文章,这篇文章为跳过 OpenID 提供了一个非常有力的理由,这篇文章最初是对它充满热情的人。

开放 ID 是一场噩梦

我一直是 Open ID 的主要支持者。我喜欢这个想法和意图——它是解决长期存在的问题的一个很好的解决方案,并为开发人员解决了很多问题。不幸的是,它为企业主创造了更多。

在此处阅读其余内容:http ://www.wekeroad.com/2010/11/17/open-id-is-a-party-that-happened/

这不是我的故事,所以我不认为它有任何功劳。

于 2010-11-17T21:27:54.947 回答
2

它可以作为正常注册的补充,但如果它是登录您网站的唯一方式,则使用起来并不容易。查看在 stackoverflow 上的注册 - 特别提到了所有网站,以帮助人们了解这一切。这个网站是为极客准备的 :) 所以缺点是复杂性。

另请参阅此链接

于 2009-01-04T17:37:25.783 回答
1

如果您有一个需要高级别安全性的站点,您不希望将您的登录凭据的处理留给您无法控制访问的外部提供商。如果 OpenID 提供商遭到黑客攻击,您将把安全留给他们。

于 2009-03-01T16:03:14.737 回答
0

使用 OpenID 时,每个人都可以将我在一个站点上所做的事情与我在其他站点上所做的事情联系起来,因为它在任何地方都是一样的。因此,例如,我不会使用我在这里用于色情网站的相同 ID。

于 2009-01-03T23:41:26.187 回答
0

有很多原因就是一个帐户可以访问所有人。如果这受到损害,您就会遇到麻烦。

如果您正在设置一个使用 openid 的页面,那么您应该知道每个人都可以设置一个 openid 服务器(垃圾邮件发送者也可以这样做)。

--

但是 openid 有很好的想法,我喜欢使用它!

于 2009-01-03T23:42:38.400 回答
0

我很惊讶使用 Stack Overflow 的人想不出不使用 OpenId 的理由——因为它很烦人?!

Ted Dziuba 在翻录 OpenId方面做得比我好得多,所以请阅读他所写的内容。

另一个很好的理由——Facebook Connect似乎已经做得很好了。随着 Facebook 会员人数的不断增长,这将使 Facebook Connect 支持变得更有价值。

在某些时候,我认为 Facebook 可以让 Connect 成为 OpenId 提供商……但实际上,他们为什么要这样做?

于 2009-01-09T05:54:27.493 回答
0

据我所知,OpenID 提供商似乎不需要提供帐户持有人的电子邮件地址,尽管有些人会这样做。

如果您的服务需要一个电子邮件地址来与它的用户交流(例如,发送新闻通讯 - 许多从未听说过 RSS 的人更喜欢这种方式),那么您可能需要捕获一个 OpenID 并验证一个电子邮件地址。

只需要电子邮件地址和密码并使用激活电子邮件消息的系统对用户来说工作量较小。

于 2009-09-27T02:54:36.830 回答
0

您拥有的 OpenID 帐户提供商(google、yahoo、twitter 等)的数量等于您可以自动用于登录 OpenID 支持的网站的帐户数量。这当然不是一个优势,但它可能是一个很大的劣势。

于 2010-04-12T13:34:23.220 回答