我不是在询问具体的实现,我不是在询问跨站点单点登录机制的全局世界观,我只是想知道社区对OpenID底层可用性的看法。您是否认为使用(由非技术观察员)发布的URL随机分类的提供者代替实际的用户名是人们更喜欢的东西?如果没有,有没有人有更好的机制?如果有足够的兴趣,我会跟进一个更一般的SSO问题。
答案 0 :(得分:16)
NO。
我认为这不是系统的根本缺陷。在可用性方面,我认为它是有缺陷的,因为它偏离了规范,并且更难以习惯,即URL而不是用户名,必须选择提供者。但我认为它们是唯一的问题,可以并且正在做的事情可以改善它们(登录页面上的可用性调整,雅虎和谷歌提高了对这个想法的认识)。
除此之外,我认为这是一个很棒的系统:
这与我在OpenID中看到的主要好处有关。在缺点方面,存在可用性方面,我承认这是一个问题。人们用来批评OpenID的另一个主要观点是,如果帐户遭到入侵,那么许多登录都会受到损害。在我看来,这并不比目前使用电子邮件绑定帐户的系统更糟糕,这可能同样受到损害,并用于“忘记用户名?”功能在很多网站上。我还想指出OpenID并不是要解决这个问题 - 它是多ID /密码问题的解决方案。但是,拥有一个密码可以获得更大的许可,可以不断更新它以增加安全性 - 无需依赖软件为您记住它,或者忘记所有时间。
因此,OpenID存在问题,但我认为它是解决多个ID /密码问题的好方法。
答案 1 :(得分:14)
是
首先,选择提供商很困难。如果我是一个经验不足的用户,我会问“为什么我需要与X共享我的信息才能使用Y运行的网站?”然后,一旦你克服了这一点,就必须选择信任谁。我个人与Verisign一起去了,因为我相信Verisign。但是有些人可能从未听说过这些提供商中的一些,也无法做出明智的决定。
其次,登录很困难。我不必输入用户名,而是输入一个URL(尽管StackOverflow可以让您更轻松地选择提供商和提供商用户名,并为您创建URL)。
第三,如果我的OpenID遭到入侵,那么我使用OpenID的网站上的所有帐户也会受到损害。有些人建议使用多个OpenID来克服这个问题,但我认为这会破坏OpenID的全部目的。
答案 2 :(得分:9)
我无法理解对OpenID的焦虑。
我登录此网站的经历(无可否认是我必须处理的唯一开放ID)很简单。我看到了OpenID所需要的东西,而且我有一个模糊的理解,我登录该网站将被委托给我信任且已经拥有ID的其他人。很低,有一个链接到我当前的在线电子邮件提供商的提供商。点击,按照一个简单的过程,我甚至不记得这样做。
现在已经设置了开放的id连接,它并不比我处理的任何其他网站更难,而且神奇的是我没有必要将另一个帐户添加到一个网站我不知道我会再次使用,可能会忘记用户名或密码。
我喜欢它,概念和执行。
答案 3 :(得分:7)
我之前已经说过了,我可能会再说一遍,但URL的想法是一个根本上有缺陷的想法。他们应该使用电子邮件地址格式或者是username@service.com的Jabber格式。这将允许现有的电子邮件提供商提供ID而无需用户记住某些神秘的URL。
答案 4 :(得分:4)
不,我不相信OpenID是一个有缺陷的概念。
如果你看一下OpenID的history,它最初的意思是允许人们通过博客拥有的网址来关联自己。这个想法得到了扩展,成为了今天的单点登录系统。
我想说OpenID非常适合那些没有用户帐户来保存基本信息的网站,这对于最终用户来说并不算是至关重要。因此,有助于评估漫画集的漫画书网站可能就是一个很好的例子。因为作为OpenID最终用户,您可以登录该站点(不创建另一个用户名/密码 - 可能与您创建的任何其他用户/密码不同,因为系统上的现有用户)并查看如何他们工作。如果您喜欢它,那么您可以继续正常使用该系统。或者,如果您不是完全迷恋该网站但决定稍后检查它们,那么您可能会感到沮丧,而不是试图记住您用于您认为可能无法返回的网站的用户名和密码组合。 OpenID完美地解决了这种情况。
话虽这么说,我个人不会使用OpenID登录我的银行账户,因为有很多关于重定向安全的说明。然而,其中大部分都在发生变化,并且通过属性交换(especially in Japan)在提升OpenID安全性方面取得了很大进展。
许多人不知道的另一个注意事项是你不需要使用URL来拥有OpenID,有一种名为i-names的技术看起来更像是用户名,即我的名字是“= true”,这可能比键入“http://true.myopenid.com”更容易。对于个人i-name,每年的成本为12美元,因此最初可能会成为某些人的障碍,但是如果您想要与他们玩游戏,则free alternatives存在。
最后一点,OpenID正在宣传可发现性(如果这是一个词)。这是一个似乎坐在表面下方的概念。可发现性就像协议级别的社交网络,如果你可能:)。有tonnes of work going on in that area,我认为这将导致更好的OpenID实现或至少OpenID的想法。希望能为我们所有人带来更好的互联网。
免责声明我是XRI TC委员会的成员,经营着一家专注于围绕XRI销售和提供服务的创业公司。
FreeXRI不是我参与的创业公司。
答案 5 :(得分:3)
答案 6 :(得分:2)
在浏览器中嵌入这种东西不是更好吗?
例如,您可以在浏览器的首选项中输入您的个人数据。然后,网站可以通过JavaScript调用请求个人数据,浏览器会显示一个要求确认的对话框。当然,JavaScript API必须标准化。
这样,用户无需在任何地方注册,并且他的所有个人信息都存储在他自己的机器上。此外,确认消息将与您的操作系统的其他部分类似,而不仅仅是您可能不信任的某个网站。
答案 7 :(得分:2)
我不认为这是一个有缺陷的概念。我认为这是新的,人们不习惯它。
但OpenID应在合作中与本地注册系统一起使用,以便用户可以选择。告诉用户去X.com注册然后回到你的网站 - 这只是愚蠢和混乱。但如果用户已经拥有GMail / AOL / YMail / etc帐户,那么让他们使用它非常方便。
我认为我们作为开发人员应该使用专门的登录表单。也就是说,代替“输入您的OpenID网址”,它应该是标准的“输入您的用户名”,他们可以选择Gmail / AOL / YMail / etc,并在幕后构建网址。 URL作为登录名的想法有点落后,因此欢迎帮助过渡的人。
答案 8 :(得分:1)
认为最好通过这些问题获得更具体而非一般性的信息。
对于你的问题,我不认为它有缺陷,但你是对的,它可能不会吸引一些人。然而,一旦民众得到它,如理解它,那么他们可能会更多地使用它。记住较少的密码肯定是更好的事情,因为最终会使密码变得比它们应该更弱。
答案 9 :(得分:1)
您需要在这样的szenario中拥有唯一的UserID。另一种选择可能是有效的电子邮件地址,但最后是垃圾邮件。
因此我更喜欢基于URL的UserID。对我来说,使用OpenID(在我的情况下是myOpenId)的可用性很棒。
答案 10 :(得分:1)
YES。
仍有多个登录。我必须去登录我的OpenID提供商,然后我必须访问该站点并使用OpenID URL再次登录。不想做更多的工作,OpenID还有很多工作要做。
我知道没有人不在使用OpenID的计算机领域。 OpenID仍然太复杂了。普通用户不需要被另一层抽象混淆。
还有跟踪OpenID用户去哪里的问题。我使用VeriSign,一个值得信赖的名字,但那些使用不太值得信赖的提供商的人呢。不,我不打算命名并开始一场火焰战。
有一个更好的答案,它被称为RoboForm(或众多淘汰赛之一)。所有用户密码和名称都保存在他们的计算机上并加密。它易于使用,更安全,更快。
答案 11 :(得分:1)
我认为一些OpenID实现还有很多不足之处。
我想雅虎会做对,但我认为他们的OpenID微站点(信息和实施)是垃圾。布局令人困惑,他们没有说清楚open-id与用户标准yahoo帐户的关系。
一旦我弄清楚启动登录请求需要哪个屏幕,雅虎发布了一个包含随机字符串的OpenID签名。 stackoverflow不接受这个。我不得不创建一个新的别名,它也必须成为默认选项。如果没有同样顽固的愿望,我认为很多用户都会放弃。
在我看来,需要制定更严格的实施指南,并且需要大力宣传该活动以教育潜在用户。
也许这项技术可以包含在浏览器实现中?
答案 12 :(得分:0)
我认为OpenID的某些方面会给许多用户带来可用性问题,但可能会通过UI改进来解决。例如,对于大多数用户来说,网址几乎无法使用。但是没有理由不能抽象,因此用户只需选择他们的提供者并输入他们在该提供者处使用的用户名。此外,必须到一个单独的位置登录是一个巨大的可用性问题,并正确地向用户发出关于他们向谁提供的数据的危险信号。这将更难解决。
答案 13 :(得分:0)
如果个人被盗或丢失,这最终是否会损害他人的身份?这是我的主要关注点。匿名既有优点也有缺点。我相信两者兼而有之。我有一些亲密的朋友,他们害怕加入Facebook社区它是如此开放的事实,如果数据库受到攻击,它就会成为一个容易攻击的目标。
答案 14 :(得分:0)
我不希望其他系统拥有我的应用程序的ID。
我为用户提供了更简单的概念,更加统一。
但是,UserID对于网站访问者的体验至关重要,您不希望将所有鸡蛋放入一个篮子(Microsoft Passport,OpenID等)。如果情况发生变化,您就搞乱了所有用户帐户。
答案 15 :(得分:0)
这个概念很好,但设计允许安全漏洞......