openid - OpenID は欠陥のある概念ですか?

Question

特定の実装について質問しているわけでも、クロスサイト シングル サインオン メカニズムのグローバルな世界観について質問しているわけでもありません。OpenID の根底にある使いやすさについてコミュニティがどう考えているかを知りたいだけです。実際のユーザー名の代わりに、(技術者ではない観察者にとって) ランダムなプロバイダーの組み合わせによって発行された URL を使用することは、人々が好むものだと思いますか? そうでない場合、誰かがより良いメカニズムを持っていますか? 十分な関心があれば、より一般的な SSO の質問でフォローアップします。

Answer 1

番号。

基本的にシステムに欠陥があるとは思いません。使いやすさの点では、標準からの逸脱であり、慣れるのが難しいため、欠陥があると言えます。つまり、ユーザー名の代わりに URL を使用し、プロバイダーを選択する必要があります。しかし、私はそれらが唯一の問題だと考えており、それらを改善するために何かをすることができますし、現在も行われています (ログインページのユーザビリティの微調整、Yahoo と Google によるアイデアへの認知度の向上)。

それを除けば、私はそれが素晴らしいシステムだと思います：

• 1 つのアカウント ID とパスワードの組み合わせを覚えています (多数の ID -> パスワードの問題に対するソフトウェア ソリューションに頼る必要はありません)。
• 新しい Web サイトにアクセスしたときにフォームに記入する必要はなく、登録メールで確認するのを待つ必要もありません。
• OpenID プロバイダーを信頼していない場合でも、比較的簡単に独自のプロバイダーになることができます。個人的には、これは標準にとって大きな成果だと思います。何かを非常に用途が広く、（私の知る限り）簡単にすることは、私にとって本当に素晴らしいことです。
• ウェブサイトを構築する責任と、パスワードの保存とセキュリティの両方がますます困難になっているときに切り離すことができます。
• この次の点については実際にはよくわかりませんが、1 つの OpenID アカウントを使用して複数のペルソナをホストするのは非常に簡単だと思います。これは、さまざまな Web サイトに使用できます。 ilovemyjob.com. これは私の友人のペルソナです。私はそれを facebook に使用しています」そして、異なるペルソナには異なる情報が関連付けられています。私が言ったように、これがどのように行われるのか、または正確になぜそれが役立つのかについてはあまり知りません...しかし、それが何に役立つかを見つけます.

以上が OpenID の主なメリットです。デメリットとしては使い勝手の面が挙げられますが、これは問題だと思います。人々が OpenID を批判するために使用するもう 1 つの主なポイントは、アカウントが侵害された場合、多くのログインが侵害されるということです。私の意見では、これは電子メールをアカウントに関連付ける現在のシステムよりも悪いものではなく、同様に侵害され、「ユーザー名を忘れた場合」に使用される可能性があります。多くのウェブサイトで機能します。また、OpenID はその問題を解決するためのものではなく、複数の ID/パスワードの問題を解決するものであることも指摘しておきます。ただし、1 つのパスワードを使用すると、セキュリティを強化するためにパスワードを更新し続けることができます。ソフトウェアにパスワードを記憶させたり、常に忘れさせたりする必要はありません。

したがって、OpenID には問題がありますが、複数の ID/パスワードの問題に対する良い解決策だと思います。

参考文献:
この件に関する興味深い Google トーク

Answer 2

はい。

まず、プロバイダー選びが難しいです。私が経験の浅いユーザーであれば、「Y が運営するサイトを使用するために、なぜ X と私の情報を共有する必要があるのですか?」と尋ねるでしょう。そして、それを乗り越えたら、あなたの情報を信頼する人を選ばなければなりません. 個人的には、Verisign を信頼しているので、Verisign を選択しました。しかし、一部の人々は、これらのプロバイダーの名前を聞いたことがなく、十分な情報に基づいた決定を下すことができません。

2 つ目は、ログインが難しいことです。ユーザー名を入力するのではなく、URL を入力する必要があります (ただし、StackOverflow を使用すると、プロバイダーとプロバイダーのユーザー名を簡単に選択でき、URL が作成されます)。

第 3 に、OpenID が侵害された場合、OpenID を使用しているサイトのすべてのアカウントも侵害されます。これを克服するために複数の OpenID を持つことを提案する人もいますが、それでは OpenID の目的全体が無効になると思います。

Answer 3

OpenID に対する不安を理解できません。

このサイトへのサインインに関する私の経験 (確かに、対処しなければならなかった唯一のオープン ID) は単純でした。私は OpenID が必要なことを見て、サイトへのサインインが、私が信頼していて既に ID を持っている他の誰かに委任されることを漠然と理解していました. 見よ、私の現在のオンライン電子メールプロバイダーのプロバイダーへのリンクがありました. クリックして、覚えていないほど簡単なプロセスに従ってください。

オープンID接続が設定されたので、私が扱う他のどのサイトよりも難しいことはありません.魔法のように、これまで使用することを知らなかったサイトに別のアカウントを追加する必要はありませんでした.のユーザー名またはパスワードを忘れてしまう可能性があります。

私はそれが好きです、コンセプトと実行。

Answer 4

前にも言ったし、おそらくもう一度言うだろうが、URL のアイデアは根本的に欠陥のあるアイデアだ。電子メール アドレス形式または username@service.com の Jabber 形式を使用する必要がありました。これにより、既存の電子メール プロバイダーは、ユーザーが難解な URL を覚えなくても ID を提供できるようになります。

Answer 5

いいえ、OpenID に欠陥のある概念があるとは思いません。

OpenID の歴史を見ると、もともとは、人々が複数のブログで所有する URL を介して自分自身を関連付けることができるようにするためのものでした。このアイデアは拡張され、今日のシングル サインオン システムになりました。

OpenID は、エンド ユーザーにとって重要とは見なされない基本情報を保持するためのユーザー アカウントを持たない Web サイトに最適であると言えます。したがって、あなたのコミック コレクションの評価を支援するコミック サイトは、その良い例かもしれません。OpenID エンド ユーザーとしてサイトにログインできるため (別のサイトを作成する必要はありません)。ユーザー名/パスワード -- システムに既存のユーザーが存在するため、作成した他のユーザー名とは異なる場合があります)、それらがどのように機能するかを確認してください。気に入った場合は、引き続き通常どおりシステムを使用できます。または、サイトに完全に夢中になっているわけではなく、後でチェックアウトすることにした場合は、サイトに使用したユーザー名とパスワードの組み合わせを思い出そうとする代わりに、他の方法では戻ってこないかもしれないと思っていたので、イライラする可能性があります. OpenID は、この種の状況に完全に対処します。

そうは言っても、リダイレクトのセキュリティについて多くのことが述べられているため、OpenID を使用して自分の銀行口座にログインすることは個人的にはしません。ただし、その多くは変化しており、属性交換による OpenID のセキュリティの向上は大きく進歩しています (特に日本)。

多くの人が知らないもう 1 つの注意点は、OpenID を取得するために URL を使用する必要がないということです。ユーザー名に似たi-namesと呼ばれる技術があります。つまり、私の i-name は「=true」です。 、これは「 http://true.myopenid.com 」のように入力するよりもはるかに簡単かもしれません。個々の i-name には年間 $12 の費用がかかるため、一部の人にとっては最初は障壁になるかもしれませんが、それらを試してみたい場合は、無料の代替手段が存在します。

最後に、OpenID は発見可能性のアイデアを促進しています (それが一言で言えば)。それは水面下にあるように見えた概念です。発見可能性は、プロトコル レベルでのソーシャル ネットワーキングのようなものです:)。その分野では多くの作業が進行中であり、OpenID のより良い実装、または少なくとも OpenID のアイデアにつながると思います。これが、私たち全員にとってより良いインターネットにつながることを願っています。

免責事項 私は XRI TC 委員会のメンバーであり、XRI に関するサービスの販売と提供に重点を置いたスタートアップを経営しています。

FreeXRI は私が関わっているスタートアップではありません。

Answer 6

グーグルはそう考えているようです。彼らの最近の OpenID スペースへの参入と、その後のプロトコルのフォークには、この問題について次の 2 つのことが言えます。

1. OpenID は、非常に多数のユーザーをサポートする可能性があり、おそらくそれらを描画しないサイトで使用するために、非常に多数のユーザーを持つサイトに関連付けられている場合に特に便利です。Google のような人や OID に取り組んでいる人がすでに認証システムをカバーしているのに、認証システムの車輪を再発明する必要はありません。
2. 現状の OpenID は厄介です。参加しているプロバイダーの多くで、人々はすでに多数の異なるユーザー名を持っているからです。しかし、多くのユーザーは、GMail が登場して自分の名前を電子メール アドレスとして取得し、無限の数のアカウントを作成できる絶好の機会を得ました。Google は、すべての Open ID ユーザーにとって、アカウント システムだけで十分だと考えているようです。私はおそらくこれに同意するでしょう。

Answer 7

間違ったコンセプトではないと思います。私はそれが新しいと思うだけで、人々はそれに慣れていません.

ただし、ユーザーが選択できるように、OpenID はローカル登録システムと組み合わせて使用​​する必要があります。X.com にアクセスして登録し、その後サイトに戻るようにユーザーに指示するのは、ばかげていて混乱を招きます。しかし、ユーザーが既に GMail/AOL/YMail/etc のアカウントを持っている場合は、それを使用できるようにすることは非常に便利です。

ただし、私たち開発者は専用のログイン フォームを使用する必要があると思います。つまり、「OpenID URL を入力してください」ではなく、標準の「ユーザー名を入力してください」である必要があり、Gmail/AOL/YMail/etc を選択して、舞台裏で URL を構築することができます。URL がログイン名であるという考え方は少し古いので、移行を手助けしてくれることは大歓迎です。

Answer 8

こういうものをブラウザに組み込んだほうがいいのではないでしょうか？

たとえば、ブラウザの設定で個人データを入力します。その後、サイトは JavaScript 呼び出しで個人データを要求でき、ブラウザーは確認を求めるダイアログを表示します。もちろん、JavaScript API は標準化する必要があります。

そうすれば、ユーザーはどこにもサインアップする必要がなく、すべての個人情報は自分のマシンに保存されます。さらに、確認メッセージは、信頼できない Web サイトのように見えるだけでなく、オペレーティング システムの他の部分と同じように見えます。

Answer 9

このようなシナリオでは、一意の UserID が必要です。別のオプションとして、有効な電子メール アドレスを使用することもできますが、その場合、スパムとはどうなるでしょうか。

したがって、私は URL ベースの UserID を好みます。そして私にとって、OpenID (私の場合は myOpenId) の使いやすさは素晴らしいです。

Answer 10

はい。

まだ複数のログインがあります。OpenID プロバイダーにアクセスしてログインし、次にそのサイトにアクセスして、OpenID URL で再度ログインする必要があります。これ以上の作業は必要ありません。OpenID はさらに多くの作業を必要とします。

コンピュータ分野で OpenID を使用している人を私は知りません。OpenID はまだ複雑すぎます。平均的なユーザーは、別の抽象化レイヤーによって混乱する必要はありません。

また、OpenID ユーザーの移動先を追跡するという問題もあります。私は信頼できる名前の VeriSign を使用していますが、信頼性の低いプロバイダーを使用している場合はどうでしょうか。いいえ、名前を挙げて炎上戦争を始めるつもりはありません。

より良い答えがあります.RoboForm（または多くの模造品の1つ）と呼ばれています. ユーザーのパスワードと名前はすべて自分のマシンに保存され、暗号化されます。使いやすく、より安全で、より高速です。

Answer 11

この種の質問は、一般的な質問よりも具体的な質問のほうがよいと考えてください。

あなたの質問に対して、私はそれが欠陥だとは思いませんが、一部の人にとっては魅力的ではないかもしれないというあなたの意見は正しいです. しかし、ひとたびそれを理解すると、人々はそれをもっと使うようになるかもしれません。パスワードを必要以上に弱くしてしまうため、覚えるパスワードの数を減らすことは確かに良いことです。

Answer 12

OpenID の実装の中には、まだ多くのことが望まれているものもあると思います。

Yahoo ならうまくいくだろうと思っていたのですが、彼らの OpenID マイクロサイト (情報と実装) は私の意見ではゴミです。レイアウトがわかりにくく、open-id がユーザーの標準的な yahoo アカウントとどのように関連しているかが明確にわかりません。

ログイン要求を開始するために必要な画面を特定すると、yahoo はランダム化された文字列を含む OpenID 署名を発行しました。これは、stackoverflow によって受け入れられませんでした。新しいエイリアスを作成する必要があり、これもデフォルトのオプションにする必要がありました。それを解決したいという同じような頑固な欲求がなければ、多くのユーザーは諦めてしまうと思います。

私の意見では、実施のためのより厳格なガイドラインを作成する必要があり、潜在的なユーザーを教育するためにキャンペーンを大々的に宣伝する必要があります.

この技術はブラウザの実装に含まれる可能性がありますか?

Answer 13

コンセプトは問題ありませんが、設計ではセキュリティの悪用をギャップすることができます...

Answer 14

アプリケーションのIDを所有する他のシステムは必要ありません。

私は、ユーザーにとってよりシンプルで、より均一であるという概念を理解しています。

ただし、UserIDはサイト訪問者のエクスペリエンスにとって非常に重要であるため、すべての卵を1つのバスケット（Microsoft Passport、OpenIDなど）に入れたくはありません。状況が変わった場合は、すべてのユーザーアカウントを台無しにしています。

Answer 15

多くのユーザーにとって使いやすさの問題を引き起こす OpenID の側面があると思いますが、おそらく UI の改善によって解決される可能性があります。たとえば、URLはほとんどのユーザーにとって本質的にほとんど使用できません。ただし、抽象化できない理由はないため、ユーザーはプロバイダーを選択し、そのプロバイダーで使用するユーザー名を入力するだけです。さらに、ログインするために別の場所に行かなければならないことは、ユーザビリティの大きな問題であり、ユーザーが誰にどのデータを提供しているのかについて、危険信号を発するのは当然のことです. それを解決するのははるかに難しいでしょう。

Answer 16

盗まれたり紛失したりした場合、最終的に個人の身元が危うくなるのではないでしょうか? これが私の主な関心事です。匿名にはメリットもあればデメリットもあります。私は両方を持っていると信じています.Facebook コミュニティに参加することを恐れている親しい友人がいます.Facebook コミュニティは非常にオープンであり、データベースが攻撃された場合に簡単にターゲットになる.