openid - サイトで OpenID 認証のみを使用する利点は何ですか?

Question

私のOpenIDの経験から、いくつかの重大な欠点が見られます。

サイトに単一障害点を追加
検出されたとしても、サイトで修正できる障害ではありません。OpenID プロバイダーが 3 日間ダウンした場合、ユーザーがログインして所有する情報にアクセスできるようにするために、サイトはどのような手段を講じなければならないでしょうか?

ユーザーを別のサイトのコンテンツに誘導し、ユーザーがサイトにログオンするたび
に OpenID プロバイダーにエラーがない場合でも、ユーザーは自分のサイトにリダイレクトされてログインします。ログインページにはコンテンツとリンクがあります。そのため、ユーザーが実際にサイトから引き離され、インターネットのウサギの穴に落ちる可能性があります。

ユーザーを別の会社の Web サイトに誘導する必要があるのはなぜですか?
[ 注: 私のプロバイダーはこれを行わなくなり、この問題は (今のところ) 修正されたようです。]

サインアップにかなりの時間が
かかる サイトにサインアップするために、新しいユーザーは新しい標準を読み、プロバイダーを選択し、サインアップする必要があります。標準は、ユーザー エクスペリエンスを摩擦のないものにするために、技術者が同意する必要があるものです。それらはユーザーに押し付けられるべきものではありません。

フィッシャーの夢
OpenID は信じられないほど安全ではなく、ログイン時に個人の ID を盗むのは簡単です。[以下のDavid Arnoの回答から引用]

---

マイナス面はすべてありますが、プラス面の 1 つは、ユーザーがインターネットにログインする回数を減らすことができることです。サイトに OpenID のオプトインがある場合、その機能を必要とするユーザーはそれを使用できます。

私が理解したいのは
、OpenID を必須にすることでサイトにどのようなメリットがあるかということです。

Answer 1

OpenID を必須にする利点は、Web サイトのログイン コードを (OpenID 統合以外に) 記述する必要がなく、ユーザー パスワードなどの保存に関して予防策を講じる必要がないことです。

独自のログイン コードを持たないということは、紛失したパスワードのリセットなどの多くのサポートの問題に対処する必要がないことも意味します。

確かにあなたの欠点のほとんどは有効なので、それはトレードオフになると思います.

驚いたことに、特定の OpenID プロバイダーと単純にアカウント サインアップ フェーズを行うための密接な関係を形成しているサイトがこれ以上ないことです。ユーザー名とパスワードなどのログイン ページでは、選択したプロバイダーで新しいアカウントが自動的に作成されます。

Answer 2

これは、インフラストラクチャの一部を外部委託する良い方法です。パスワードの紛失などを心配する必要はありません。誰かが代わりにやってくれます。

ただし、それを排他的に使用するかどうかはわかりません。私は OpenID を完全に信頼できるほどには使用していません。90% を超えるユーザーが OpenID を取得するまで、サインアップ プロセスを合理化する必要があります。

Answer 3

サイトに重大な障害点を追加します

Stackoverflow のユーザーボイスに関する3 番目に高いアイデアは、OpenID プロバイダーを変更できるようにすることです。コメントには、OpenID 以外の関連付けを許可するという提案があります。複数の OpenID を 1 つのアカウントに関連付けることができるサイトでは、通常の OpenID プロバイダーがダウンしている場合でも、別のプロバイダーでログインできます (既にそのプロバイダーをサイトに関連付けていると仮定します)。

また、機能していない OpenID プロバイダーのユーザーにとっては、重大な障害点にすぎません。他の OpenID プロバイダーの他のすべてのユーザーは、引き続きログに記録できます。時間が経つにつれて、ユーザーは最も信頼できるプロバイダーに移行することが予想されます。

ユーザーを別のサイトのコンテンツに誘導し、ユーザーがサイトにログオンするたびに

OpenID プロバイダーが常にサイト (または命名法における OpenID コンシューマー) を信頼するように設定しており、既に OpenID プロバイダーにログインしている場合、OpenID プロバイダーのサイトが表示されなくても、サイトに直接リダイレクトされます。

サインアップに非試用期間を追加します

現在はそうかもしれませんが、andyuk が言ったように、「これは、OpenID をサポートするサイトが増えるほど問題が少なくなります」。数年後には、ほとんどのユーザーがすでに OpenID を持っていて、それが何であるかを知っていると思います。

Answer 4

エンジニアリングの観点からOpenIDのみを使用することの大きな利点の1つは、クレデンシャル認証部分を抽象化することで、ユーザーがサイト用に構築するよりもはるかに高度な認証方法を選択できることです。はい、一部のOpenIDプロバイダーは簡単にフィッシングされます。一方、他のOpenIDユーザーは、情報カード、ハードウェアトークン、または電話による検証を使用してログインします。これらは、フィッシング詐欺師がキャプチャして再生できない資格情報です。

Gabe Wachobが言ったように：

認証方法を革新したい人[...]は、Web上でサービスを提供することを革新した人と同じである必要はありません（Mediawiki、Drupalなどを実行している100万人のいずれか）。認証の革新とサービスの革新の「リンク解除」は、OpenIDで価値のあるものです。

したがって、OpenIDを使用することで、ユーザーに強力な認証方法を提供できます。抽象化により、1つのインターフェイスを実装できます。次に、クリアテキストで8文字のパスワードを使用するか、チャレンジレスポンスニューラルインプラントを使用するかに関係なく、使用するプロバイダーを選択できます。

Answer 5

欠点のリストには、最も明白な欠点が欠けています。それはフィッシング詐欺師の夢です。OpenID は信じられないほど安全ではなく、ログイン時に個人の ID を盗むのは簡単です。

ただし、Matt Sheppard はその答えについて頭を悩ませています。OpenID のみを使用する利点は、ユーザー名とパスワードを処理する必要がなく、ユーザー アカウント作成コードも必要ないため、サイト作成者の手間がかからないことです。

Answer 6

これは、ユーザーが OpenID にサインアップし、それについてもっと知り、できれば自分自身でそれを伝道することを奨励しています。

Stack Overflow は、OpenID をサポートするだけで機能することを証明しています。

「サイトに重大な障害点を追加する」

OpenID プロバイダーが機能しない場合、サイトには、ユーザーがログインして OpenID プロバイダーを追加/変更できるメカニズムが必要です。おそらく、サイトは一時的なリンクを電子メールで送信してセキュリティをバイパスし、ユーザーが自分のアカウントにアクセスできるようにすることができます.

「ユーザーを別のサイトのコンテンツに誘導し、ユーザーがサイトにログオンするたびに」

OpenID プロバイダーを使用すると、特定の Web サイトを信頼できるので、Web サイトを表示する必要さえありません。

「サインアップに非試用期間を追加します」

これは、OpenID をサポートするサイトが増えるほど問題が少なくなります。

Answer 7

Web 開発者として、私は OpenID のアイデアの大ファンです。Auth コードを書くのは大変です。Web ユーザーとして、私は OpenID の大ファンです。SO やフォーラムなどの重要でない用途向けです。ID を取得すると、サイトに参加するための非常に簡単な方法だからです。

開発者のコ​​ミュニティなど、いくつかの例外を除いて、現時点では OpenID のみを強制することはできないと思います。「平均的な」Web ユーザー (それが何を意味するにせよ) には理解できません。ただし、このようなサイトで宣伝すると、開発者の間で認知度が高まり、アイデアが徐々に浸透していきます。OpenID がより多くのサイトに表示されるようになると、人々は OpenID を調べて、自分が OpenID を持っていることに気づき、それを使い始めるようになります。OpenID (これは素晴らしいアイデアです) が普及するには、それをサポートするユーザーとサイトがクリティカル マスになる必要があります。

最終的には、それが「現状」になるだけで、なぜ私たちが作成したすべての Web サイトに対して認証コードを作成したのか、または Web 上のすべての場所で一意の ID を作成したのか疑問に思うでしょう。

Answer 8

ポッドキャストの 1 つで説明されているように、放浪者が Yahoo! を投稿する場所がここにあるのではないかと考えることで、参入障壁が追加されます。質問に答えます。

それはいくぶんエリート主義的ですが、特にこの Web サイトの焦点を考えると、Open ID プロセスを理解できない人を拒否することはかなり許容されます。わずかな苦労。

Answer 9

OpenID に関する私の経験から、多くの重要な利点が見られます。

信頼できる OpenID プロバイダーでログインすることを選択した場合。Verisign PIP+VIP を使用すると、帯域外の SecureID 認証メカニズムの利点を享受できます。これは、他のすべての利点を凌駕する主な利点と見なす必要があります。あなたがアクセスするサイトにある安っぽいフォームベースの認証を信頼することはなくなり、Verisign VIP や OpenID プロバイダーの選択を信頼することになります。

インターネットのうさぎの穴？実装が悪いように聞こえますが、私はあなたが何を指しているのかわかりません。

認証の詳細を簡単に盗むことはできません。私たちがすでに持っているものよりも不可能に近づけることができます! 私がプロバイダーに連絡していると思わせることができるかもしれませんが、Verisign には、リダイレクトを許可または受け入れないオプションがあります。これらのフィッシングの問題は、OpenID 認証プロバイダーを通じて得られる帯域外認証メカニズムの利点と比較検討する場合は特に、些細なことだと思います。たとえば、RSA キーの詳細を 1 回フィッシングしたとしても、次回は有効ではないか、ブラウザ証明書を使用するとしたら、まったく役に立たないかもしれません。

結論として、OpenID は現在のシステムを進化させたものにすぎず、検証対象の電子メール アドレスです。メール アカウントが現在の単一障害点である場合は、そうです。制御している OpenID が制御できなくなった場合、OpenID が新しい単一障害点になる可能性があります。そのため、メール サーバーのみを信頼する場合は、独自の OpenID URL をホストするだけです。Gmail を信頼する場合は、OpenID に Gmail の URL を使用してください。これは、Gmail アカウントが最終的にアカウントのパスワードを取得できるため、Gmail を SSO として既に信頼しているためです。

これは非常に簡単なことですが、認証メカニズムの基本的な概念を理解するのが難しい人もいることは理解できます。SecureID カードを使用して (OpenID プロバイダーを介して) アカウントを持っているサイトにログインできるなら、そうするでしょう。だからそれが唯一の選択肢なら、私はそれを取るよ！

Answer 10

サイトに重大な障害点を追加します

その重大な障害点は、送信した確認メールである可能性がありますが、ユーザーのメールボックスは、a) 入力ミスにより利用できない、b) いっぱいである、または c) プロバイダーが「ダウン」しています。

ユーザーを別のサイトのコンテンツに誘導し、ユーザーがサイトにログオンするたびに

私はそれを見ることができますが、私見-これはそれほど悪くはありません. つまり、Y! 最も雑然としたログインの 1 つと思われ、私にはまったく機能しません。;) 余談ですが、ほとんどの OpenID プロバイダーは (まだ) それほど悪くはありません。

また、聴衆を念頭に置いてください。ママとパパがユーザーの場合、OpenID はおそらく非常に混乱します。しかし、それはおそらくインターネット上にたくさんあります。SO の場合、人々はある程度知識のあるユーザーであり、自分が何を望んでいるのかを知っています。

サインアップに非試用期間を追加します

これは問題ではありません。プロバイダーのリストを見てください: http://openid.net/get/

非常に多くの人が、少なくとも Yahoo! アカウントなので、実際に機能した場合。それほど悪くはないでしょう。ただし、ユーザーが OpenID を持っておらず、それが何のためにあるのかわからない場合は同意します。彼らを教育するのはそう簡単ではありません。

そして、「サイト A に登録するには、サイト B に登録する必要がある」という意味について考えてみてください。そして、登録自体が面倒なことであることは誰もが知っています。しかし、長い目で見れば、これはまさに OpenID が対処しようとしている問題でもあります。

メインストリームでは、現在、OpenID を必須にする価値はないと考えています。私はアドオンとしてそれが好きです。「Facebookでログイン」などへのリンクを人々がどのように提供するか.それを理解していない（または気にしない）人々は気にする必要はありません. しかし、他の人はまだそれを使用できます。

Answer 11

OpenID はスライスされたパン以来の最高のものかもしれませんが、私は自分の身元について「彼ら」を信頼する理由を与えられていません。

Answer 12

主に使いやすさの観点から、私は OpenID に賛成です。安全性についてはまだ確信が持てませんが、多くの可能性を秘めています。言いたいことは山ほどありますが、以下の2点だけお答えしたいと思います。

サインアップにかなりの時間を追加します

初回のみ設定です。また、現在 Yahoo のような企業がサポートを提供しているため、OpenID を設定したくない場合でも、わざわざ設定する必要はありません。OpenID プロバイダーとして Google または類似のプロバイダーを使用した場合、それらは本質的に安全ではないと思いますか? また、どのくらいの頻度でダウンタイムが発生すると予想されますか?

それはフィッシャーの夢です

私は、これが部分的に真実である可能性があることを認めます。しかし、フィッシングは技術的な問題というよりも社会的な問題ではないのでしょうか? OpenID を使えば簡単にできるかもしれませんが、それでも本当の問題はユーザーにあるという事実がなくなるわけではありません。技術によってユーザーを安全に守ろうとするよりも、フィッシャーがどのように動作するかをユーザーに認識させることの方がはるかに重要です。

Answer 13

少なくとも OpenID は、OpenID プロバイダーにログインするように送信します。
blogspot でブログを読んでいましたが、このブログをフォローするためのリンクがあります (おそらく、新しい投稿があるときに教えてくれます)。これを行うには、Gmail のユーザー名とパスワードを求めるボックスが表示されます。

これが本物でフィッシング サイトではないと仮定しても - 彼らは今 (潜在的に) 私の Gmail、私の Google ドキュメント、私の Google アプリケーション - すべてへのログインを持っています!

Answer 14

言及することも1つです。すでに OpenID のユーザーベースを持っているので、ログインするだけで済みます。

Answer 15

OpenID を持つことの主な利点は、長期的に見られます。ID を複数のサイトに申請する代わりに、一度申請すれば、一意の ID が必要なすべてのサイトで使用できます。もちろん、銀行や取引などの安全なサイトでは、まったく異なる種類の考え方が必要になります。しかし、ソーシャルネットワーキングサイトなどでは、簡単に使用できます.

ママとパパも、ユーザー名とパスワードを 1 つだけ覚えればよいので、簡単です。多くの場合、どのサイトでどのログインを使用しているかを覚えておくのが難しくなり、最終的にサイト A の正しいユーザー名/パスワードをサイト B で使用することになります。OpenID はそれを解決します。さらに、これは OpenID プロバイダーとユーザーにとって優れた収益モデルです。私はそのようなプロバイダーに、私が提供したいすべての詳細を入力することができ、私が提供するすべての詳細はお金を稼ぐことができます.

たぶん、プロバイダはそれをインセンティブとして使って自分自身についてもっと話すように私を説得し、それを私が登録しているサイトに販売することができます. したがって、サイト A は私の情報に対して OpenID を支払います。次に、OpenID がその一部を私に渡します。サイト A はユーザーを管理する必要はありません。OpenID がお金を稼ぎ、ユーザーがお金を稼ぎ、誰もが満足しています :)

これにより、OpenID を必須にする必要がなくなります。人々自身がそれを望んでいるでしょう。OpenID プロバイダーは、より良いサービスを提供するために互いに競争し、競争がある場合は、関係者全員により良い価値が提供されます。素晴らしいアイデアだと思います。

編集： ある特定のプロバイダーでのダウンタイムについて。OpenID プロバイダー A が 100% のアップタイムを提供する自信がない場合、別のプロバイダー B の助けを借りることができ、プロバイダー A のユーザーはプロバイダー A が提供するオプションから選択できます。ユーザーを認証するためにプロバイダー A にアクセスするサイトは、プロバイダー A が機能していない場合にアクセスする他のプロバイダーを認識します。これは、最初のログイン時にデータベースに自動的に保存されます。実装の詳細についてブレインストーミングしたい人はいますか? :)