Vous voyez un peu juste (dans la communauté Geek de toute façon) sur OpenID. Il semble être une bonne idée. Je suis le développement d'un site web qui sera ciblé à un peu moins geek public (mais pas tout à fait la Maman et de la Pop non plus) donc je me demande si OpenID va être "trop dur" pour certains publics.
Qu'en pensez-vous? Cela mis à part, existe-il d'autres techniques ou non, raisons de ne PAS utiliser OpenID?
Il peut être légèrement inexact de dire que la personne moyenne ne comprend pas OpenID.
Dans la plupart des cas, avec un peu de persuasion marketing (c'est à dire "UTILISER UNE CONNEXION SUR TOUS les SITES!!!11!) ils peuvent comprendre qu'il leur permet de se connecter à des sites à l'aide d'une connexion plutôt que d'avoir un tas de différents noms d'utilisateur et mots de passe sur différents sites.
Le problème, cependant, est que, pour un utilisateur moyen, l'ensemble de l'OpenID expérience va à l'encontre de ce en quoi ils croient à la sécurité en ligne.
Les utilisateurs ne sont pas automatiquement confiance en elle
Avec la normale nom d'utilisateur/mot de passe des identifiants de connexion, les utilisateurs à comprendre qu'un mot de passe doit être gardé secret, et c'est ce qui protège leur vie privée lorsqu'ils se connectent à un site. Comment sont-ils à comprendre l'échange qui se passe entre un OpenID site client et son fournisseur OpenID? Tout ce qu'ils savent, c'est qu'ils n'ont pas à mettre un mot de passe (en supposant qu'ils sont "toujours connecté" à leur fournisseur OpenID) - de sorte qu'il n'est pas sûr, non? Je veux dire, dans les yeux d'un utilisateur, comment peut-il être sûr si on ne dit pas un mot de passe? Cela peut conduire à l'utilisateur de méfiance.
Il le rend facile de phishing
(Nombreux) utilisateurs savent que c'est mal de ré-utiliser le même mot de passe pour différents comptes, mais cela semble être précisément ce qu'OpenID est en train de faire. Si un utilisateur suppose simplement que l'ensemble de leur fournisseur OpenID est fait c'est de partager son mot de passe avec tous les sites participants? Je veux dire, sinon comment pourrait-OpenID 'être connecté pour eux" sur tous ces sites? Si l'utilisateur suppose que via OpenID, leur mot de passe est connu de tous les participants OpenID sites, ils peuvent supposer qu'il est tout à fait raisonnable de donner ce mot de passe à l'un de ces sites. C'est un phishing cauchemar. Imaginez mettre cette phrase sur votre site: "Veuillez entrer votre nom d'utilisateur [ ] et le mot de passe [ ]". Vous êtes phishing déjà les gens.
Nous ne devons pas oublier, aussi, qu'un utilisateur devrait être droit dans ses soupçons, à un égard, même si, pour une raison légèrement différente: si quelqu'un accède à leur fournisseur OpenID, ils ont accès à leur identité, à tous les sites où ils ont utilisé cette identité, qui est le même inconvénient à l'utilisation du même mot de passe sur plusieurs sites.
Il s'écarte trop de ce que les utilisateurs à comprendre
Le fait d'avoir plusieurs noms d'utilisateur/mots de passe sur différents sites n'est pas difficile à comprendre pour les utilisateurs. Les utilisateurs à comprendre le concept de noms d'utilisateur et mots de passe, car ils sont utilisés, et le point de la sécurité (le fait que le mot de passe est un secret), c'est vraiment évident pour eux. C'est vraiment clair comment un mot de passe fonctionne. Le fait d'avoir plusieurs nom d'utilisateur et le mot de passe combinaisons de ne pas faire cela une fois de plus la confusion ou compliqué - c'est exactement la même chose, mais plus que l'un d'entre eux. Alors que se souvenir de plusieurs mots de passe peut être difficile, les utilisateurs au moins savoir comment faire, et comment il fonctionne.
OpenID essaie de résoudre le problème de se souvenir de plusieurs mots de passe, mais dans le processus, elle crée un tout nouveau paradigme, celui qui est complètement opaque pour les utilisateurs. Contrairement à un mot de passe, dont la sécurité est évidente (il vient d'être secret), l'ensemble de la sécurité de l'OpenID qui se passe derrière les coulisses, avec des sites de communiquer les uns avec les autres, les clés et les tables de hachage, etc. L'utilisateur n'est plus pleinement conscient de leur vie privée est protégée, ou de ce qui est gardé secret qui, parce qu'ils ne comprennent pas comment fonctionne le système. Ainsi, dans une tentative de résoudre un problème de se souvenir de plusieurs mots de passe, OpenID a créé un système mystique de la clé-des échanges qui viole l'utilisateur de l'ensemble de la compréhension de la façon dont l'authentification fonctionne et pourquoi il est sécuritaire.
Moyenne, les utilisateurs ne comprends toujours pas ce qu'OpenId est, à quoi il sert, ni comment l'utiliser. Mes parents ne seraient pas en mesure de vous connecter à un Débordement de Pile par exemple.
Cela dit, c'est en grande partie sur l'interface utilisateur. Il n'y a rien d'intrinsèquement les empêchant d'utiliser OpenId - ils ont juste besoin d'une interface utilisateur qui effectue l'abstraction OpenId, et juste leur permet de se connecter avec leur compte Google (par exemple).
OpenID est incroyablement sensible aux tentatives de phishing. Si vous exécutez un OpenID site, essayez de changer la page de connexion, un jour, à la demande de l'identifiant et du mot de passe, au lieu de l'approche d'une requête de l'identificateur et le rediriger vers le fournisseur OpenID pour demander le mot de passe utilisateur. Je parie que vous pouvez obtenir plus d'un quart de vos mots de passe utilisateur de cette façon.
Ouais sécurité. Utilisant OpenId vous met à la merci de leur administrer leurs comptes. Vous n'avez aucun contrôle sur la sécurité des mots de passe et id utilisateur. Vous faites confiance à une autre organisation pour vérifier que les gens à venir à votre site sont bien qui ils disent qu'ils sont. Si vous avez vraiment besoin de vérifier que quelqu'un est en fait qui ils disent qu'ils sont. Vous n'aurez pas le cas avec open id sans en faire une sorte de secondaire de vérification de vous-même. dans ce cas, vous pourriez tout aussi bien de ne pas utiliser OpenId.
http://www.computerworld.com/s/article/9179224/Researchers_Password_crack_could_affect_millions
Cela revient beaucoup.
Une bonne règle:
Si vous avez besoin de recueillir et de conserver privé des informations personnellement identifiables de l'information, ne pas utiliser OpenID.
Si vous n'avez pas besoin de recueillir et de conserver privé des informations personnellement identifiables d'informations, aller de l'avant et offrir OpenID comme méthode de connexion.
Pour l'e-commerce, ou n'importe où ailleurs que vous avez besoin pour se conformer à la PCI/DSS certification, je ne voudrais pas utiliser OpenID.
Je n'ai pas l'esprit qui est exclusivement OpenID, cependant je ne voudrais pas faire un site qui a utilisé exclusivement.
Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.
