OpenID มันแย่ขนาดนั้นจริงเหรอ?


31

ฉันได้เห็นคำถามนี้เกี่ยวกับ Quoraที่ผู้คนจำนวนมากดูเหมือนจะยอมรับว่า OpenID ไม่ดีแม้จะระบุว่า:

OpenID เป็น "วิธีแก้ปัญหา" ที่แย่ที่สุดที่ฉันเคยเห็นมาตลอดชีวิตกับปัญหาที่คนส่วนใหญ่ไม่มี

จากนั้นฉันก็ได้เห็นบทความและทวีตที่อ้างถึงคำถามที่บอกว่า OpenID หายไปและ Facebook ชนะ

มันน่าเศร้าที่อ่านเพราะฉันชอบ OpenID มาก (หรืออย่างน้อยก็ความคิดที่อยู่ด้านหลัง) แท้จริงฉันเกลียดการเข้าสู่ระบบ / รหัสผ่านอีกครั้งสำหรับหน้า (ฉันจะลืมมันต่อไป) - มันเป็นปัญหาร้ายแรงสำหรับฉันและฉันรู้ว่าผู้คนจำนวนมากที่มีปัญหาเดียวกัน ดังนั้นฉันคิดว่า OpenId เป็นทางออกที่ดี แต่ฉันไม่แน่ใจอีกต่อไป

ดังนั้นคำถามคือฉันยังควรกังวลที่จะใช้ OpenID หรือไม่คุ้มค่าหรือไม่ อะไรคือวิธีที่มีประสิทธิภาพและสะดวกที่สุด (จากมุมมองของผู้ใช้) ในการระบุและรับรองความถูกต้องของผู้ใช้


7
OpenID มีข้อบกพร่อง แต่เนื่องจากฉันไม่เคยได้ยินอะไรดีไปกว่าการแทนที่ฉันจะไม่บอกว่ามันหายไป Facebook ไม่ใช่ทางเลือกสำหรับ OpenID เนื่องจากเป็นแบบรวมศูนย์และผู้คนจำนวนมากก็ไม่ต้องการมีบัญชี Facebook มันคุ้มค่ากับความพยายามหรือไม่? ในความเห็นส่วนตัวของฉันมันเป็น

คำตอบ:


13

การสนทนานี้มักจะเกิดขึ้นเนื่องจากข้อเท็จจริงที่ถูกเพิกเฉยอย่างหนึ่ง: OpenID ไม่เคยถูกออกแบบให้เป็นโปรโตคอลการเข้าสู่ระบบ นั่นคือการเข้าใจผิดในภายหลัง

OpenID เป็นช่วงที่การตรวจสอบ URL ของหน้าแรกบริการ และมันก็ใช้การได้ แต่เนื่องจากไม่มีทางเลือกจึงถูกเปลี่ยนใหม่อย่างรวดเร็วเป็นโปรโตคอลการเข้าสู่ระบบทั่วไป คุณลักษณะบางอย่างถูกสร้างขึ้นบน (การลงทะเบียนแบบง่ายการแลกเปลี่ยนแอตทริบิวต์) เพื่ออำนวยความสะดวกที่ดีกว่า แต่ที่สำคัญคือ OpenID เป็นรูปแบบการตรวจสอบสิทธิ์ URL

นี่คือความผิดพลาดในการใช้งานและการนำมาใช้ ข้อดีของการเข้าสู่ระบบแบบมัลตินั้นมีความสำคัญต่อผู้ใช้งานด้านเทคนิคไม่ใช่การทำให้เข้าใจง่ายสำหรับผู้ใช้ทั่วไป (อย่าให้ฉันเริ่มต้นด้วยความแข็งแกร่งเพียงกู้การเข้าสู่ระบบของ Stackoverflow ของฉัน)
แต่ก็ยังไม่มีทางเลือกที่แพร่หลายหรือเหนือกว่าทางเทคนิค (มี OpenID ก่อนหน้านี้บางส่วน ในฐานะผู้สนับสนุนโอเพ่นซอร์สตัวยงฉันจะพิจารณา Microsofts Passport หรือ Cardspace ไม่ว่าจะเป็นเรื่องอะไรก็ตาม แต่ขณะนี้ยังไม่มีตัวเลือก

กลับไปที่คำถามของคุณ: Stick to OpenID สำหรับผู้ใช้ทั่วไปทำให้คู่ชื่อผู้ใช้ / รหัสผ่าน oldschool เป็นไปได้และเป็นตัวเลือก OpenID บางที OpenID3 อาจพบการยอมรับอย่างกว้างขวางและแก้ไขปัญหาบางอย่าง หรืออาจเป็นอย่างอื่นมาพร้อม แนวคิดทั่วไปเบื้องหลังแนวคิดนั้นเจ๋ง


นั่นเป็นข้อเท็จจริงที่น่าสนใจฉันไม่รู้ ขอบคุณสำหรับคำตอบของคุณดังที่ฉันได้กล่าวไว้ก่อนหน้านี้ฉันกลัวว่าการใช้ 'ทุกอย่าง' (ตามความคิดเห็นของฉันใน @DeveloperArt โพสต์) จะทำให้ตกใจและ / หรือทำให้ผู้ใช้สับสน แต่บางทีฉันก็ผิด ทางออกที่ดีที่สุด?
DoPPler

11

คุณไม่สามารถใช้ทั้งสองได้หรือ

ทุกคนเลือกตัวเลือกตามความชอบและความหวาดระแวงของเขา

OpenID ให้ความสะดวกสบายมาก อีกทั้งยังให้ความเสี่ยงด้านความปลอดภัยที่มากยิ่งขึ้น

[ความเสี่ยงของผู้ใช้]จะเกิดอะไรขึ้นถ้า Facebook / Google / ฯลฯ ตัดสินใจว่าบัญชีของคุณถูกบุกรุกและคุณต้องให้หมายเลขโทรศัพท์หรือสำเนาหนังสือเดินทางเพื่อเปิดใช้งานอีกครั้ง คุณจะไปไหม

[ความเสี่ยงของ บริษัท ]จะเกิดอะไรขึ้นถ้า Facebook / Google / ฯลฯ ตัดสินใจปิดบริการหรือเริ่มคิดค่าบริการ จากนั้นในฐานะที่เป็นเจ้าของไซต์

[การจารกรรมข้อมูล]ทำไมให้พวกเขารวบรวมสถิติโดยละเอียดจากเว็บไซต์ผู้บริโภคจำนวนมากและช่วยพวกเขาสร้างโปรไฟล์ส่วนตัวของผู้คน ใครจะรู้ว่าพวกเขาจะทำอะไรกับมัน? ขายมันใช้เพื่อปรับกลยุทธ์ทางการตลาดของพวกเขาส่งให้ซีไอเอ?

ผู้ชายมันเรียบง่ายและเรียบง่าย - หลีกเลี่ยงการพึ่งพาใครและตัดสินใจเองว่าจะเกิดอะไรขึ้นกับคุณเมื่อใดและอย่างไร


ฉันสามารถไปและนำไปปฏิบัติทั้งสองได้จริง ฉันสามารถเพิ่มการสนับสนุนสำหรับผู้ให้บริการ OpenID ผ่าน URL จากนั้นแสดงรายการที่ได้รับความนิยมมากที่สุด 3-4 รายการจากนั้นเพิ่มการสนับสนุน OAuth สำหรับ Facebook และ Twitter จากนั้นเพิ่มแบบฟอร์มการลงชื่อเข้าใช้ / รหัสผ่าน / อีเมล / การลงทะเบียน ยังไม่ทราบรหัสผ่านอีกสิ่งคือฉันไม่ต้องการทำให้ผู้ใช้กลัว - ฉันแค่ต้องการให้พวกเขาสามารถลงชื่อเข้าใช้ได้อย่างรวดเร็ว สำหรับความเสี่ยงด้านความปลอดภัยที่กล่าวถึงเหล่านี้มีขนาดใหญ่มากจริง ๆหรือไม่?
DoPPler

ความน่าจะเป็นของการเกิดขึ้นของพวกเขานั้นไม่ใหญ่มากนัก แต่หากพวกเขาเกิดขึ้น

4
อย่างไรก็ตามโปรดทราบว่าหลายคนไม่มีบัญชี Facebook และจะไม่สร้างบัญชีขึ้นมา ไม่ควรที่จะปฏิเสธการเข้าถึง

คะแนนที่ดีมากมายที่นี่ @Developer Art เกี่ยวกับการไม่ต้องพึ่งพาผู้ให้บริการรายเดียวสำหรับธุรกิจและสำหรับบุคคล ระบบความคิดเห็น Disqus และ Wordpress ได้ตระหนักว่าพวกเขาให้ผู้ดูแลระบบ (และผู้ใช้) มีตัวเลือกของ OpenID, Yahoo, Google, Facebook, Twitter, และอื่น ๆ อีกมากมาย และเสนอโอกาสในการเชื่อมโยง ID แต่ไม่จำเป็นต้องใช้ ข้อดีข้อที่สอง: หลีกเลี่ยงการให้นิติบุคคลหนึ่งรวบรวมข้อมูลของคุณ! จริงอยู่ มันอาจเกิดขึ้นต่อไป ทำไมต้องทำให้ง่ายขึ้นโดยใช้ผู้ให้บริการรายเดียวกันทุกครั้ง นอกจากนี้: all-Facebook เฉพาะ Facebook world เท่านั้นไม่ใช่ทางออก! หวังว่าฉันจะให้คุณ upvotes มากขึ้น
Ellie Kesselman

ข้อโต้แย้งของคุณกับ OpenID เป็นข้อโต้แย้งจริงสำหรับ OpenID! ทุกคนสามารถเปิดใช้สิทธิ์ OpenID ของตนเองได้ ฉันไม่จำเป็นต้องสร้างบัญชี Google หรือ Facebook เพื่อเข้าสู่เว็บไซต์ที่ใช้ OpenID ขณะนี้ Google ได้ดึงปลั๊ก OpenID เป็นวิธีการส่งเสริมบริการ Google+ ของพวกเขาคนอื่นอาจจะเกินไปและเราได้สูญเสียการต่อสู้เพื่อเปิดมาตรฐานอย่างแท้จริงสำหรับการเข้าสู่เว็บไซต์
แบรด

5

ที่จริงแล้วฉันคิดว่าปัญหาหลักของ OpenID ไม่ใช่การติดตั้งใช้งานหรือผู้ใช้เข้าใจได้ง่ายว่ามันแย่ ฉันไม่คิดว่ามันเป็นปัญหาด้านความปลอดภัยของ OpenID ต่อครั้ง ฉันคิดว่าปัญหาหลักคือว่ามันเป็นทางออกในการค้นหาปัญหา - ปัญหาที่ผู้ใช้ส่วนใหญ่ไม่ได้เป็นอย่างมาก

ทางออกที่ดีกว่าสำหรับปัญหาในการจำรหัสผ่านจำนวนมาก ฯลฯ คือการใช้แอปพลิเคชันตัวจัดการรหัสผ่าน ตัวจัดการรหัสผ่านจะทำให้ขั้นตอนการลงทะเบียนของคุณง่ายขึ้นเนื่องจากมันจะเติมฟิลด์ทั่วไป (ชื่อ ฯลฯ ) ทั้งหมดโดยอัตโนมัติและสร้างรหัสผ่านแบบสุ่มโดยอัตโนมัติ โดยทั่วไปสิ่งเดียวที่คุณต้องทำคือยืนยันที่อยู่อีเมลของคุณ


นี่ใกล้เคียงกับความเห็นทั่วไปที่ Quora ดูเหมือนว่าจะเป็น แต่ฉันได้ยินมาหลายครั้งแล้วจากเพื่อนทั้งด้านเทคนิคและไม่ใช่ช่างเทคนิคที่พวกเขามีปัญหากับการติดตามรหัสผ่านหลายตัวดังนั้นฉันจึงไม่คิด นี่เป็นปัญหาที่ "ไม่มีอยู่" (อย่างไรก็ตามอาจมีความรำคาญน้อยกว่าที่ฉันทำ) การใช้เครื่องมือจัดการรหัสผ่านเป็นการแก้ปัญหา (ไม่ใช่ข้อบกพร่องของตัวเอง) แต่ฉันกำลังมองหาเทคโนโลยีที่ฉันสามารถนำไปใช้ได้เพื่อช่วยให้ผู้เยี่ยมชมได้รับประสบการณ์การร้องเพลงที่ดีขึ้น
DoPPler

1

ปัญหาเกี่ยวกับ openid หรือทั่ว ๆ ไปที่มีผู้ให้บริการบัญชีบนเว็บไซต์เพื่อเข้าสู่เว็บไซต์ของคุณคือผู้ใช้มักจะลืมผู้ให้บริการรายใดที่พวกเขาเลือกมาก่อน วันหนึ่งพวกเขาสามารถใช้ google ได้เดือนถัดไปพวกเขาสามารถใช้เฟสบุ๊คและอีกสามเดือนต่อมาอาจใช้ทวิตเตอร์ สำหรับเว็บไซต์นั้นจะมีลักษณะเหมือนผู้ใช้สามคน ในกรณีเช่นนี้ผู้ใช้จะหงุดหงิดเพราะพวกเขาสามารถเข้าสู่ระบบของคุณ แต่ไม่ได้อยู่ในบัญชีเดียวกันกับก่อนหน้านี้


1
คุณแน่ใจเกี่ยวกับเรื่องนี้หรือไม่? ฉันสงสัยในสิ่งเดียวกันทันทีที่ฉันได้ยิน OpenID ครั้งแรก ฉันพยายามทดสอบตัวเองดูว่าสิ่งที่คุณอธิบายนั้นเป็นจริงหรือไม่ บางครั้งมันก็เหมือนที่ StackExchange ด้วยการใช้งานของ OpenID แต่เว็บไซต์อื่น ๆ จะทำการเชื่อมโยงกับการเข้าสู่ระบบที่ผ่านมาอย่างถูกต้องหรือสอบถามว่าฉันมีบัญชีก่อนหน้านี้และระบุผู้ให้บริการ OpenID ที่ผ่านมาในลักษณะทั่วไป อาจเป็นเพราะการลงชื่อเข้าใช้ OpenID-OAuth รวมกันใช่ไหม ฉันไม่รู้ แต่ฉันเห็นด้วยกับคุณผู้ใช้อย่าลืมผู้ให้บริการที่พวกเขาเลือกมาก่อน! มันเป็นปัญหาที่แท้จริง
Ellie Kesselman

0

ปัญหาหลักของ OpenID อย่างที่ฉันเห็นคือสอง:

  • A) มันไม่ได้ใช้งานง่ายสำหรับพวกที่ไม่ใช่ด้านเทคนิค
  • B) มันไม่ได้ใช้กันอย่างแพร่หลายเป็นทางเลือก

บน A สำหรับผู้ใช้ที่เห็นปุ่ม "ล็อกอินด้วย Facebook" นั้นง่ายและสะดวกในการรับ การเห็นตัวควบคุมด้วย 10 ไอคอน (Google, Yahoo, AOL และอื่น ๆ ) ทำให้เกิดความสับสน ยิ่งกว่าความจริงที่ว่า "การเข้าสู่ระบบ" เป็น URL สิ่งที่หลายคนไม่รู้ก็คือมันมีอยู่ทั้งหมดที่พวกเขาทำคือพิมพ์การค้นหาใน Bing / Google และไปตามลิงก์ ฉันรู้จักหลายคนว่าเมื่อพวกเขาไปที่ Facebook พวกเขาค้นหา Facebook ใน Google และคลิกลิงก์อย่าพยายามอธิบายแนวคิดของโดเมนให้พวกเขา!

บน B Facebook เป็นมาตรฐาน มันค่อนข้างจะเหมือนกับ PayPal และทางเลือก: สำหรับอีคอมเมิร์ซ PayPal อาจไม่ใช่ตัวเลือกที่ดีที่สุดในราคาที่เหมาะสมเนื่องจากเป็นค่าใช้จ่ายในการทำธุรกรรม แต่ถ้าพวกเขาไม่ใช้ PayPal พวกเขากำลังเสี่ยงกับลูกค้าที่มีศักยภาพจำนวนมาก เกี่ยวกับการเข้าสู่ระบบเหมือนกัน: Facebook เปิดเว็บของคุณกับผู้ใช้ 500 ล้านคนซึ่งเป็นผู้ใช้อินเทอร์เน็ตที่ใช้งานอยู่และมีความรู้ด้านเทคโนโลยีเพียงพอที่จะทำให้ไซต์ของคุณ 'รับ' สุจริตทำไมคุณควรใช้เวลาสนับสนุนสิ่งอื่น ๆ มากขึ้น? ใช้เวลาในการพัฒนาผลิตภัณฑ์!

เนื่องจาก B, A จะแย่ลงเมื่อผู้ใช้คาดหวังว่าการเข้าสู่ระบบ Facebook และ Open Id จะทำให้พวกเขาสับสนมากกว่า

และฉันไม่ได้เริ่มต้นด้วยปัญหาที่กล่าวถึงใน Code Horror เกี่ยวกับผู้ใช้ที่เข้าสู่ระบบในเว็บไซต์เดียวกันกับบัญชี Open Id ที่แตกต่างกันและปัญหาที่อาจเกิดขึ้น ...

โดยรวมแล้วฉันชอบไอเดียเกี่ยวกับ Open ID แต่ (น่าเศร้าใช่ไหม) Facebook ทำได้ดีกว่า


4
ฉันเห็นการใช้งานหลายอย่างที่ไม่ดีแน่นอน แต่การดำเนินการที่นี่ใน Stack Exchange คือในความคิดของฉันค่อนข้างดี คุณอาจก้าวไปอีกขั้นและทำให้ประสบการณ์คล้ายกับประสบการณ์ 'ลงชื่อเข้าใช้ด้วย Facebook' (เช่น Google และ Yahoo สนับสนุน OAuth หรือ OpenID / OAuth ไฮบริดบางประเภท) ฉันเห็นด้วยกับความจริงที่ว่าการเห็นผู้ให้บริการหลายรายอาจทำให้เข้าใจผิดและทำให้เกิดปัญหาเพิ่มเติม แต่ในทางกลับกันนั้นทำให้ผู้ใช้ของคุณมีความยืดหยุ่นมากที่สุด (ฉันรู้ว่าคนที่ไม่ใช้ Facebook)
DoPPler

ความจริงที่ว่าฉันต้องลงชื่อเข้าใช้ทุกครั้งที่ไปที่สาขาอื่นของ SE ทำให้ฉันรู้สึกว่าการใช้งานไม่ดี FFS ถ้าฉันใช้ OpenID ของฉันเพื่อลงทะเบียนที่ SO และ Prog ทำไมฉันต้องลงชื่อเข้าใช้ทั้งสองครั้งในครั้งเดียวกัน นี่คือความคืบหน้า?!?
ดึง
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.