57

OpenID については (とにかく Geek コミュニティで) かなりのことがわかります。それは良い考えのようです。私は、ややこっけいなオーディエンス (ただし、ママとポップスではない) を対象とする Web サイトを開発しているので、一部のオーディエンスにとって OpenID が「難しすぎる」のではないかと考えなければなりません。

どう思いますか?それはさておき、OpenID を使用しない技術的または非技術的な理由はありますか?

4

17 に答える 17

70

平均的な人がOpenIDを理解していないと言うのは少し不正確かもしれません。

ほとんどの場合、少し説得力のあるマーケティング(つまり、「すべてのサイトで1つのログインを使用!!! 11!」)を使用すると、さまざまなユーザー名とパスワードを使用するのではなく、1回のログインでサイトにログインできることを理解できます。さまざまなサイト。

ただし、問題は、平均的なユーザーにとって、OpenIDエクスペリエンス全体が、オンラインセキュリティであると彼らが信じているものに反することです。

  • ユーザーはそれを自動的に信頼しません

    通常のユーザー名/パスワードログインでは、ユーザーはパスワードを秘密にしておく必要があることを理解しています。これにより、サイトにログインするときにプライバシーが保護されます。彼らは、OpenIDクライアントサイトとOpenIDプロバイダーの間で行われる交換をどのように理解していますか?彼らが知っているのは、パスワードを入力する必要がなかったということだけです(OpenIDプロバイダーで「常にログインしている」と仮定した場合)。つまり、安全ではありませんよね?つまり、ユーザーの目には、パスワードを入力しなかった場合にどのように安全にできるのでしょうか。これは、ユーザーの不信につながる可能性があります。

  • フィッシングを容易にします

    (多くの)ユーザーは、異なるアカウントに同じパスワードを再利用するのは間違っていることを知っていますが、これはまさにOpenIDが行っていることのようです。ユーザーが、OpenIDプロバイダーがすべて参加しているすべてのサイトとパスワードを共有していると単純に想定した場合はどうなりますか?つまり、これらすべてのサイトでOpenIDが「ログイン」する方法は他にあるでしょうか。ユーザーがOpenIDを介して、参加しているすべてのOpenIDサイトにパスワードが知られるようになると想定した場合、これらのサイトのいずれかにこのパスワードを提供することは非常に合理的であるとユーザーは想定する可能性があります。これはフィッシングの悪夢です。あなたのサイトにこのフレーズを置くことを想像してみてください:「あなたの(いくつかのOpenIDプロバイダー)ユーザー名[]とパスワード[]を入力してください」。あなたはすでに人々をフィッシングしています。

    また、わずかに異なる理由があっても、ユーザーが疑惑を抱く可能性があることも忘れてはなりません。誰かがOpenIDプロバイダーにアクセスすると、それを使用したすべてのサイトでIDにアクセスできるようになります ID。これは、複数のサイトで同じパスワードを使用する場合と同じ欠点です。

  • ユーザーが理解していることから大きく逸脱している

    異なるサイトに複数のユーザー名/パスワードがあることは、ユーザーが理解するのは難しくありません。ユーザーは、ユーザー名とパスワードに慣れているため、ユーザー名とパスワードの概念をよく理解しており、セキュリティのポイント(パスワードが秘密であるという事実)はユーザーにとって非常に明白です。パスワードがどのように機能するかは非常に明確です。ユーザー名とパスワードの組み合わせが複数あるからといって、これが混乱したり複雑になったりすることはありません。同じことですが、複数の組み合わせがあります。複数のパスワードを覚えるのは難しい場合がありますが、ユーザーは少なくともそれを行う方法とその仕組みを知っています。

    OpenIDは、複数のパスワードを記憶するという問題を解決しようとしますが、その過程で、ユーザーには完全に不透明なまったく新しいパラダイムが作成されます。セキュリティが明らかな(秘密である必要がある)パスワードとは異なり、OpenIDのセキュリティはすべて舞台裏で行われ、サイトは相互に通信し、キーとハッシュなどがあります。ユーザーは、自分のセキュリティがどのようになっているのかを完全には理解していません。彼らはシステムがどのように機能するかを理解していないため、プライバシーは保護されているか、誰から何を秘密にしておくべきか。そのため、複数のパスワードを覚えるという問題を解決するために、OpenIDは、認証がどのように機能し、なぜ安全であるかについてのユーザーの完全な理解に違反する、神秘的な鍵交換システムを作成しました。

于 2009-03-01T15:52:32.610 に答える
44

平均的なユーザーは、OpenIdとは何か、その目的、またはその使用方法をまだ理解していません。たとえば、私の両親はStackOverflowにログインできません。

そうは言っても、これは主にユーザーインターフェイスに関するものです。本質的にOpenIdの使用を妨げるものは何もありません。OpenIdを抽象化してGoogleアカウントでログインできるようにするユーザーインターフェイスが必要なだけです(たとえば)。

于 2009-01-04T00:10:30.000 に答える
19

OpenID は、フィッシングの試みに対して非常に脆弱です。OpenID サイトを運営している場合は、ID のみを要求し、OpenID プロバイダーにリダイレクトしてユーザーのパスワードを要求する通常の方法ではなく、ある日、ログイン ページを IDとパスワードを要求するように変更してみてください。この方法で、ユーザーのパスワードの 4 分の 1 以上を取得できるに違いありません。

于 2009-01-04T18:19:41.517 に答える
12

ええ、セキュリティ。OpenId を使用すると、アカウントを管理している彼らに翻弄されます。パスワードのセキュリティとユーザー ID を制御することはできません。あなたは、他の組織を信頼して、あなたのサイトにアクセスする人々が本人であることを確認しています。誰かが本人であることを本当に確認する必要がある場合。なんらかの二次的な検証を自分で行わなければ、open id でそれを取得することはできません。その場合、OpenId を使用しない方がよいでしょう。

http://www.computerworld.com/s/article/9179224/Researchers_Password_crack_could_affect_millions

于 2009-01-03T23:37:44.993 に答える
9

これはたくさん出てきます。

良いルール:

個人を特定できる個人情報を収集して保持する必要がある場合は、OpenIDを使用しないでください。

個人を特定できる個人情報を収集して保持する必要がない場合は、ログイン方法としてOpenIDを提供してください。

eコマースやPCI/DSS認定に準拠する必要があるその他の場所では、OpenIDは使用しません。

SOが独占的にOpenIDであることは気にしませんが、それを独占的に使用するサイトは作成しません。

于 2009-03-01T16:07:50.233 に答える
6

  1. インターフェースはひどいです。

    a。OpenIDに登録するには、より多くの時間と知識が必要です。通常の登録には、ほとんど時間や知識が必要ありません。登録は一度だけ行われますが、それは多額の先行投資であるため、サイトは非常に魅力的でなければなりません。

    b。サインインには次のものが含まれます。2つではなく3つのデータ。1つではなく2つのWebページ(実際にはStackOverflowで3つ)。および外部Webサイト。毎回。

    c。この種のソリューションには、より優れたインターフェースがあります。たとえば、KeePassを使用しています。

  2. 名前の衝突。一意の名前を保証する方法はありません。

  3. セキュリティはひどいです。

    a。フィッシングのような行動を助長します。「Visaによる検証」ほど悪くはありませんが、近いです。

    b。単一障害点:何かを失うと、すべてを失います。KeePassを使用すると、少なくともパスワードを物理的に保護できます(暗号化されたデータベースを搭載したハードドライブが必要です)。

    c。クロスサイト追跡。クレジットカード会社には、実際に許可されている追跡の量を管理するルールがあります。最新のブラウザでは、Cookieを選択的に無効または防止できます。OpenIDにはルールもガバナーもありません。

  4. それは実際には普遍的ではありません。GoogleはOpenIDを提供しています...しかしそれらを使用していません。Yahooも同じです。そしてAOLのために。OpenIDプロバイダーが他のプロバイダーからのOpenIDの使用を許可するインセンティブはありません。

  5. OpenIDは認証には役立ちますが、承認には役立ちません。特に機密性の高いもの(クレジットカードなど)には役立ちません。

個人的には、サイトごとに1つのログイン/パスワードを使用し、KeePass(物理的に保護でき、クラックする必要のある2層のパスワードで保護できます)を使用して、どこでも1つのログインの抽象化を維持します。

これにはStackOverflowが含まれます。私は皆さんのために特別にOpenIDを作成しましたが、他の場所では使用しません。私はこれを行いましたが、コンテンツが魅力的であるため、ログインの苦痛に耐えました。

しかし、 StackOverflowに実際の認証メソッドが提供された場合は、使いやすさを向上させるために、ハートビートでジャンプします。

于 2009-09-30T18:03:38.753 に答える
5

OpenID は、他のすべてのパスワードベースの認証方法と同じくらい安全ではありません。実際、誰かがあなたの OpenID にアクセスした場合、その人はその 1 つ以上のアカウントを持っているため、さらに悪いことになります。もちろんフィッシング攻撃もありますが、私たちはプログラマー、データベース、およびシステム管理者として精通しているため、そのような攻撃に引っかかることはありませんよね?

認証セキュリティは信頼に基づいています。他の人が指摘したように、潜在的に機密性の高い情報について、なぜ第三者を信頼するのでしょうか? 確かに、自分で OpenID サーバーをセットアップすることはできますが、複数のシステムで別々のパスワードを維持するのと比べて、どれだけ手間がかかるでしょうか? 確かに、長くて英数字以外の文字でいっぱいの安全なパスワードを作成し、それらをすべてパスワード マネージャーに保存することもできます (私はそうしています)。アクセスしてパスワードをリセットします。

OpenID が SSH や PGP のように安全な秘密鍵ベースの認証を行うのであれば、おそらく OpenID をサポートし、伝道したいと思うでしょう。多分それはそのような方法を提供するプロバイダーの問題です-私はまだ調べていません.

最後に、OpenID を Stack Overflow での認証に使用するのに十分なほど信頼していますが、私の OpenID は「使い捨て」であり、これをプロの評判構築ツールとして使用しているわけではありません (つまり、私の実名は関係ありません)。 ;-))。私だけではないと確信しています (このサイトと同じくらいクールで素晴らしいです!)。

于 2009-01-05T08:07:31.487 に答える
3

私は今日、OpenIDに熱心だった人から、OpenIDをスキップすることを非常に強く主張する記事に出くわしました。

OpenIDは悪夢です

私は常にOpenIDの主要な支持者でした。私はそのアイデアと意図が大好きです。これは長年の問題に対する優れたソリューションであり、開発者にとって多くの問題を解決します。残念ながら、それはビジネスオーナーにとってさらに多くのことを生み出します。

ここで残りを読んでください:http ://www.wekeroad.com/2010/11/17/open-id-is-a-party-that-happened/

それは私の話ではないので、私はそれを信用していません。

于 2010-11-17T21:27:54.947 に答える
3

このトピックを読むのは面白いです。これは、OpenID に関する私の経験を正確に反映しています。

OpenID を取得する理由は StackOverflow.com でした。
多くの Google 検索でこの Web サイトにたどり着きましたが、コメントを残すことはできませんでした。
何度も登録しようと思ったのですが、OpenIDのせいで登録しませんでした。それが正確に何であるかは私には明らかではありませんでした。
でも、ある日、登録しようと決めて、時間はかかりましたが、毎日使っているので後悔はしていません。フィッシングされた場合に多くの問題につながるのは 1 つのアカウントだけであることはわかっていますが、より安心感があります。

私にとって、OpenID は、知らないサイトだけでなく、StackOverflow.com などのより大きな Web サイトにもすばやくログインするための非常に優れた方法です
。 OpenIDは実際にそうです。

于 2010-01-02T13:27:07.713 に答える
3

OpenID は、すべてのサイトで使用されている場合に適しています。しかし、1つのサイトを利用するためだけにOpenIDに登録するのは少し多すぎます。OpenID への登録は、(消費者の観点から) サイトに直接登録するほど簡単ではありません。

于 2009-01-03T23:38:12.357 に答える
2

通常の登録への追加としては良いですが、それがあなたのサイトにログインする唯一の方法である場合、それは非常に使いやすいものではありません。stackoverflowの登録を見てください-すべてのサイトは、人々がこれが何であるかを理解するのを助けるために特別に言及されています。そして、このサイトはオタク向けです:)つまり、マイナスは複雑さです。

このリンクも参照してください

于 2009-01-04T17:37:25.783 に答える
1

高レベルのセキュリティを必要とするサイトがある場合は、ログイン資格情報の処理を外部プロバイダーに任せたくありません。外部プロバイダーでは、アクセスを制御できません。OpenIDプロバイダーがハッキングされた場合、セキュリティはプロバイダーに任されています。

于 2009-03-01T16:03:14.737 に答える
0

OpenIDを使用すると、どこでも同じであるため、あるサイトで行っていることを他のサイトで行っていることと誰でも接続できます。したがって、たとえばポルノサイトでここで使用しているのと同じIDは使用しません。

于 2009-01-03T23:41:26.187 に答える
0

1つのアカウントですべてにアクセスできる理由はたくさんあります。これが危険にさらされると、問題が発生します。

openidを使用するページを設定する場合は、誰もが1つのopenidサーバーを設定できることを知っておく必要があります(スパマーもそれを行うことができます)。

-

しかし、openidには良いアイデアがあり、私はそれを使うのが好きです!

于 2009-01-03T23:42:38.400 に答える
0

Stack Overflowを使用したことがある人が、OpenIdを使用しない理由を考えられなかったことに驚いています。

Ted Dziubaは、私よりもOpenIdにリッピングするのにはるかに優れた仕事をしたので、彼が書いたものを読んでください。

もう1つの理由-FacebookConnectはすでに非常にうまく機能しているようです。Facebookのメンバーシップが増え続けるにつれて、FacebookConnectのサポートはさらに価値のあるものになります。

ある時点で、FacebookがConnectをOpenIdプロバイダーにすることができると思います...しかし、実際、なぜ彼らはそうしたいのでしょうか?

于 2009-01-09T05:54:27.493 に答える
0

所有している OpenID アカウント プロバイダー (google、yahoo、twitter など) の数は、OpenID を利用した Web サイトへのログインに自動的に使用できるアカウントの数と同じです。これは確かに利点ではありませんが、大きな欠点になる可能性があります。

于 2010-04-12T13:34:23.220 に答える
0

私が知る限り、OpenID プロバイダーはアカウント所有者の電子メール アドレスを提供する必要はないようです。

サービスがユーザーと通信するために電子メール アドレスを必要とする場合 (たとえば、RSS を聞いたことがない多くの人々が好むニュースレターを送信するため)、OpenID を取得して電子メール アドレスを確認する必要があります。

電子メール アドレスとパスワードだけが必要で、アクティベーション電子メール メッセージを使用するシステムは、ユーザーの負担が少なくなります。

于 2009-09-27T02:54:36.830 に答える