Quel est l'avantage d'utiliser UNIQUEMENT l'authentification OpenID sur un site ?

Question

D'après mon expérience avec OpenID je vois un certain nombre d'inconvénients importants :

Ajoute un Point unique de défaillance sur le site
Ce n'est pas une défaillance qui peut être réparée par le site, même si elle est détectée. Si le fournisseur OpenID est en panne pendant trois jours, quel recours a le site pour permettre à ses utilisateurs de se connecter et d'accéder aux informations qu'ils possèdent ?

Conduit un utilisateur au contenu d'un autre site et à chaque fois qu'il se connecte à votre site.
Même si le fournisseur OpenID ne présente pas d'erreur, l'utilisateur est redirigé vers son site pour se connecter. La page de connexion contient du contenu et des liens. Il y a donc une chance qu'un utilisateur soit effectivement attiré loin du site pour descendre dans le terrier de l'Internet.

Pourquoi voudrais-je envoyer mes utilisateurs sur le site web d'une autre entreprise ?
(Note : mon fournisseur ne fait plus cela et semble avoir réglé ce problème (pour l'instant)).

Ajoute un temps non négligeable à la procédure d'inscription.
Pour s'inscrire sur le site, un nouvel utilisateur est obligé de lire une nouvelle norme, de choisir un fournisseur et de s'inscrire. Les normes sont quelque chose sur laquelle les techniciens doivent se mettre d'accord afin de rendre l'expérience de l'utilisateur plus fluide. Elles ne doivent pas être imposées aux utilisateurs.

C'est le rêve d'un phisher
OpenID est incroyablement peu sûr et le vol de l'identité de la personne lorsqu'elle se connecte est trivialement facile. [ tiré de l'article de David Arno Réponse : ci-dessous ]

---

Malgré tous les inconvénients, le seul avantage est de permettre aux utilisateurs d'avoir moins de connexions sur Internet. Si un site a opté pour OpenID, les utilisateurs qui le souhaitent peuvent l'utiliser.

Ce que j'aimerais comprendre, c'est :
Quel est l'avantage pour un site de rendre OpenID obligatoire ?

Answer 1

L'avantage de rendre OpenID obligatoire est simplement qu'il n'est pas nécessaire d'écrire un code de connexion pour le site Web (au-delà de l'intégration d'OpenID), et qu'aucune précaution ne doit être prise concernant le stockage des mots de passe des utilisateurs, etc.

Le fait de ne pas avoir son propre code de connexion permet également de ne pas avoir à gérer de nombreux problèmes d'assistance, comme la réinitialisation de mots de passe perdus, etc.

Il est certain que la plupart de vos inconvénients sont valables, donc je suppose que cela devient un compromis.

Ce qui me surprend, c'est qu'il n'y a pas plus de sites qui établissent une relation étroite avec un fournisseur OpenID particulier pour simplifier la phase d'ouverture de compte - c'est-à-dire une sorte de page de connexion "Vous pouvez utiliser n'importe quel OpenID, mais vous pouvez aussi en créer un dès maintenant en entrant un nom d'utilisateur et un mot de passe, etc", qui crée automatiquement un nouveau compte avec le fournisseur sélectionné pour vous.

Answer 2

C'est un bon moyen d'externaliser une partie de votre infrastructure. Vous n'avez pas à vous soucier des mots de passe perdus, etc., quelqu'un d'autre le fait pour vous.

Je ne suis pas sûr de l'utiliser exclusivement, cependant. Je n'ai pas assez utilisé OpenID pour lui faire entièrement confiance, et le processus d'inscription doit être simplifié jusqu'à ce que > 90 % des utilisateurs aient un OpenID.

Answer 3

Ajoute un point critique d'échec au site.

Le troisième plus grand idée d'un uservoice pour Stackoverflow est de permettre de changer le fournisseur OpenID. Dans les commentaires, il est suggéré de permettre l'association de plus d'un OpenID. Sur les sites où plusieurs OpenID peuvent être associés à un compte, si votre fournisseur OpenID habituel est en panne, vous pouvez toujours vous connecter avec un autre fournisseur (en supposant que vous l'ayez déjà associé au site).

De plus, ce n'est qu'un point critique d'échec pour les utilisateurs du fournisseur OpenID qui ne fonctionne pas. Tous les autres utilisateurs des autres fournisseurs OpenID peuvent continuer à se connecter. Avec le temps, on pourrait s'attendre à ce que les utilisateurs migrent vers les fournisseurs les plus fiables.

Conduit un utilisateur au contenu d'un autre site et à chaque fois qu'il se connecte à votre site.

Si vous avez configuré votre fournisseur OpenID pour qu'il fasse toujours confiance à un site (ou consommateur OpenID dans la nomenclature) et que vous êtes déjà connecté à votre fournisseur OpenID, il vous redirigera directement vers le site sans que vous ne voyiez le site de votre fournisseur OpenID.

Ajoute une durée de non-essai à l'inscription

Pour l'instant, c'est peut-être vrai, mais comme l'a dit andyuk, "Plus il y a de sites qui prennent en charge OpenID, moins le problème se pose". Je pense que d'ici quelques années, la plupart des utilisateurs auront déjà un OpenID et sauront ce que c'est.

Answer 4

L'un des grands avantages d'opter pour OpenID uniquement d'un point de vue technique est que l'abstraction de la partie authentification des informations d'identification permet aux utilisateurs de choisir des méthodes d'authentification beaucoup plus sophistiquées que celles que vous prendriez la peine de créer pour votre site. Oui, certains fournisseurs OpenID sont facilement piratés. D'un autre côté, d'autres utilisateurs d'OpenID se connectent à l'aide de cartes d'information, de jetons matériels ou de vérifications téléphoniques, et ce sont des informations d'identification qui peuvent être utilisées par les utilisateurs. ne peut pas être capturé et rejoué par un phisher.

Dans le rôle de Gabe Wachob mettez-le :

Les personnes qui veulent innover dans les méthodes d'authentification [...] ne doivent PAS être les mêmes personnes qui innovent en offrant des services sur le web (n'importe lequel des millions de personnes qui font tourner Mediawiki, Drupal, etc). Ce "découplage" entre l'innovation en matière d'authentification et l'innovation en matière de services est ce qui est précieux dans OpenID.

Ainsi, en utilisant OpenID, vous pouvez offrir à vos utilisateurs des méthodes d'authentification plus fortes. L'abstraction vous permet de mettre en œuvre une interface, puis vous pouvez choisir n'importe quel fournisseur avec lequel travailler, qu'il utilise des mots de passe à huit caractères en clair ou des implants neuronaux à réponse par défi.

Answer 5

La liste des inconvénients oublie le plus évident : c'est le rêve de tout phisher. OpenID est incroyablement peu sécurisé et il est très facile de voler l'identifiant d'une personne lorsqu'elle se connecte.

L'avantage d'utiliser uniquement OpenID est qu'il implique moins de tracas pour le créateur du site, car il n'y a pas de noms d'utilisateur et de mots de passe à gérer et aucun code de création de compte utilisateur requis.