apakah OpenID benar-benar seburuk itu?

31

Saya telah melihat pertanyaan ini di Quora di mana banyak orang tampaknya setuju bahwa OpenID itu buruk, bahkan menyatakan lebih jauh:

OpenID adalah "solusi" terburuk yang pernah saya lihat sepanjang hidup saya untuk masalah yang kebanyakan orang tidak punya

Kemudian saya telah melihat artikel dan tweet yang merujuk pertanyaan yang mengatakan bahwa OpenID telah hilang, dan Facebook menang.

Sangat menyedihkan untuk membaca karena saya cukup menyukai OpenID (atau setidaknya ide di baliknya). Saya benar-benar benci mendapatkan lagi login / kata sandi untuk halaman (saya akan melupakannya) - ini adalah masalah yang cukup serius bagi saya dan saya tahu banyak orang dengan masalah yang sama. Jadi saya berpikir bahwa OpenId adalah solusi yang bagus tapi saya tidak yakin lagi.

Jadi pertanyaannya adalah apakah saya masih harus repot-repot menerapkan OpenID atau tidak layak? Apa cara yang paling kuat dan nyaman (dari perspektif pengguna) untuk mengidentifikasi dan mengotentikasi pengguna?

openid user-experience DoPPler
sumber
7
OpenID memiliki kekurangan, tetapi karena saya belum pernah mendengar ada yang lebih baik untuk menggantinya, saya tidak akan mengatakan itu hilang. Facebook bukan alternatif untuk OpenID, karena ini tersentralisasi dan banyak orang tidak ingin memiliki akun Facebook. Apakah ini sepadan dengan usaha? Menurut pendapat subjektif saya, itu benar.

Jawaban:

13

Diskusi ini selalu muncul karena satu fakta yang sebagian besar diabaikan: OpenID tidak pernah dirancang sebagai protokol login. Itu salah saji nanti.

OpenID dipahami sebagai layanan verifikasi URL beranda . Dan untuk itu bisa dilakukan. Tetapi karena kurangnya alternatif itu dengan cepat digunakan kembali sebagai protokol login umum. Beberapa fitur dibuat (reg sederhana, pertukaran atribut) untuk memfasilitasi yang lebih baik. Tetapi pada intinya OpenID adalah skema verifikasi otoritas URL.

Di sinilah kesalahan penggunaan dan implementasi berasal. Keuntungan multi login hanya penting bagi pengguna teknik-affine, bukan penyederhanaan nyata bagi pengguna biasa. (Jangan biarkan saya mulai pada ketahanan; cukup selamatkan login Stackoverflow saya.)
Tapi masih tidak ada alternatif luas atau teknis unggul (ada beberapa OpenID sebelumnya tetapi tidak memiliki kata kunci dan penyerapan pemasaran). Sebagai pendukung open source yang keranjingan, saya bahkan akan mempertimbangkan Microsoft Passport atau Cardspace apa pun yang ada di atasnya, tetapi saat ini bukan pilihan.

Kembali ke pertanyaan Anda: Tetap gunakan OpenID. Untuk pengguna biasa, buat pasangan nama pengguna / kata sandi oldschool dimungkinkan, dan OpenID opsional. Mungkin OpenID3 menemukan adopsi luas dan memperbaiki beberapa masalah. Atau mungkin sesuatu yang lain datang. Gagasan umum di balik konsep itu keren.

mario
sumber
Itu fakta yang menarik, saya tidak tahu itu. Terima kasih atas jawaban Anda Seperti yang telah saya sebutkan sebelumnya, saya takut menerapkan 'semuanya' (sesuai komentar saya di posting @DeveloperArt) akan menakuti dan / atau membingungkan pengguna, tetapi mungkin saya salah dan jika dilakukan dengan baik ini adalah solusi terbaik?
DoPPler
11

Tidak bisakah Anda menerapkan KEDUA?

Semua orang memilih opsi berdasarkan preferensi dan keadaan paranoia-nya.

OpenID memberikan kenyamanan luar biasa. Ini juga memberikan risiko keamanan yang lebih besar.

[Risiko pengguna] Bagaimana jika Facebook / Google / dll. memutuskan akun Anda telah disusupi dan Anda perlu memberikan nomor telepon atau salinan paspor Anda untuk mengaktifkannya kembali? Apakah Anda akan melakukannya?

[Risiko Perusahaan] Bagaimana jika Facebook / Google / dll. memutuskan untuk mematikan layanan mereka atau mulai mengenakan biaya untuk itu? Kemudian sebagai pemilik situs Anda secara besar-besaran kacau.

[Data spionase] Mengapa membiarkan mereka mengumpulkan statistik terperinci dari banyak situs konsumen dan membantu mereka membangun profil pribadi orang? Siapa yang tahu apa yang akan mereka lakukan dengan itu? Jual, gunakan untuk menyesuaikan taktik pemasaran mereka, serahkan ke CIA?

Man, ini sangat mendasar dan sederhana - hindari menjadi tergantung pada siapa pun dan putuskan sendiri apa dan kapan akan terjadi pada Anda.


sumber
Saya bisa pergi dan mengimplementasikan keduanya, itu benar. Saya dapat menambahkan dukungan untuk penyedia OpenID apa pun melalui URL, kemudian mendaftar 3-4 yang paling populer, kemudian menambahkan dukungan OAuth untuk Facebook dan Twitter dan kemudian menambahkan login / kata sandi / pendaftaran email / registrasi / form login saya untuk pengguna yang Saya tidak keberatan dengan kata sandi lain. Masalahnya adalah saya tidak ingin menakuti pengguna saya - saya hanya ingin mereka dapat masuk dengan cepat. Adapun risiko keamanan yang disebutkan - apakah ini benar-benar besar ?
DoPPler
Kemungkinan terjadinya mereka tidak besar, tetapi jika mereka terjadi konsekuensinya akan besar.
4
Pokoknya ingatlah bahwa banyak orang tidak memiliki akun Facebook dan tidak akan membuatnya. Tidak bijaksana untuk menolak akses mereka.
Banyak poin bagus di sini @Developer Art tentang tidak bergantung pada penyedia tunggal, untuk bisnis dan untuk individu. Sistem komentar Disqus dan Wordpress telah menyadari bahwa, mereka memberi admin (dan pengguna) pilihan OpenID, Yahoo, Google, Facebook, Twitter, mungkin lebih. Dan menawarkan kesempatan untuk mengaitkan ID tetapi tidak memerlukannya. Poin bagus ke-2: Hindari membiarkan satu entitas mengumpulkan informasi Anda! Benar sekali. Itu mungkin terjadi. Mengapa membuatnya lebih mudah dengan menggunakan penyedia yang sama setiap saat? Juga: all-Facebook, HANYA dunia Facebook BUKAN solusinya! Seandainya saya bisa memberi Anda lebih banyak suara.
Ellie Kesselman
Argumen Anda terhadap OpenID sebenarnya adalah argumen untuk OpenID! Siapa pun dapat meluncurkan otoritas OpenID mereka sendiri. Saya tidak harus membuat akun Google atau Facebook untuk masuk ke situs yang menggunakan OpenID. Sekarang Google telah menarik sumbat OpenID sebagai cara untuk mempromosikan layanan Google+ mereka, yang lain mungkin juga akan melakukannya dan kami telah kehilangan perjuangan untuk standar yang benar-benar terbuka untuk masuk ke situs.
Brad
5

Sebenarnya, saya pikir masalah utama dengan OpenID bukanlah implementasi atau ramah pengguna itu buruk. Saya juga tidak berpikir itu masalah keamanan dengan OpenID, per-se. Saya pikir masalah utamanya adalah ini merupakan solusi dalam mencari masalah - masalah yang, bagi sebagian besar pengguna, sebenarnya bukan masalah besar.

Solusi yang lebih baik untuk masalah harus mengingat banyak kata sandi, dll adalah dengan menggunakan aplikasi pengelola kata sandi. Pengelola kata sandi bahkan akan menyederhanakan proses pendaftaran untuk Anda, karena akan secara otomatis mengisi semua bidang umum (nama, dll.) Dan menghasilkan kata sandi acak secara otomatis. Satu-satunya hal yang harus Anda lakukan adalah memverifikasi alamat email Anda.

Dean Harding
sumber
Ini sangat dekat dengan pendapat umum di Quora, tetapi saya sudah berkali-kali mendengarnya dari teman teknis dan tidak terlalu teknis bahwa mereka memiliki masalah dengan melacak beberapa kata sandi sehingga saya tidak berpikir ini adalah masalah yang "tidak ada" (namun itu mungkin kurang mengganggu daripada saya membuatnya). Tentu saja menggunakan pengelola kata sandi adalah beberapa solusi (bukan tanpa cacatnya sendiri), tetapi saya sedang mencari teknologi yang dapat saya terapkan untuk membantu pengunjung mendapatkan pengalaman bernyanyi yang lebih baik.
DoPPler
1

Masalah dengan openid, atau lebih umum, dengan memiliki pilihan penyedia akun di situs web untuk login dengan situs web Anda, adalah bahwa pengguna cenderung lupa penyedia mana yang mereka pilih sebelumnya. Suatu hari mereka bisa menggunakan google, bulan depan mereka bisa menggunakan facebook dan tiga bulan kemudian mungkin twitter. Untuk situs web, akan terlihat seperti tiga pengguna yang berbeda. Dalam kasus seperti itu, pengguna menjadi frustrasi, karena mereka dapat masuk ke sistem Anda, tetapi tidak ke akun yang sama seperti sebelumnya.

Marcin
sumber
1
Apakah Anda yakin akan hal itu? Saya bertanya-tanya hal yang sama segera setelah saya pertama kali mendengar tentang OpenID. Saya sudah mencoba menguji diri saya, melihat apakah yang Anda jelaskan benar. Terkadang, seperti di StackExchange, dengan implementasi OpenID mereka. Tetapi situs web lain DO benar membuat asosiasi untuk login terakhir, atau menanyakan apakah saya memiliki akun sebelumnya, dan menunjukkan penyedia OpenID masa lalu secara umum. Mungkin itu karena kombinasi masuk OpenID-OAuth? Saya tidak tahu Tapi saya setuju dengan Anda, pengguna lupa penyedia mana yang mereka pilih sebelumnya! Ini masalah nyata.
Ellie Kesselman
0

Masalah utama dengan OpenID, seperti yang saya lihat, adalah dua:

  • A) Ini tidak ramah pengguna untuk orang-orang non-teknis
  • B) Ini tidak banyak digunakan sebagai alternatif

Pada A, bagi pengguna yang melihat tombol "masuk dengan facebook" mudah dan mudah didapat. Melihat kontrol dengan 10 ikon (Google, Yahoo, AOL, dll) itu membingungkan. Terlebih lagi fakta bahwa "login" adalah URL, sesuatu yang banyak orang tidak tahu itu ada karena semua yang mereka lakukan adalah mengetikkan pencarian di Bing / Google dan ikuti tautannya. Saya tahu banyak orang bahwa ketika mereka pergi ke Facebook, mereka mencari Facebook di Google dan mengklik tautannya, jangan mencoba menjelaskan konsep domain kepada mereka!

Di B, Facebook adalah standarnya. Ini sedikit mirip dengan PayPal dan alternatifnya: untuk e-commerce, PayPal mungkin bukan pilihan terbaik karena harga pada transaksi, tetapi jika mereka tidak menggunakan PayPal, mereka berisiko banyak klien potensial. Tentang login sama: Facebook membuka web Anda untuk 500 juta pengguna yang merupakan pengguna internet aktif dan cukup ahli dalam bidang teknologi untuk 'mendapatkan' situs Anda. Jujur, mengapa Anda harus menghabiskan lebih banyak waktu untuk mendukung hal-hal lain? Habiskan waktu itu mengembangkan produk!

Karena B, A menjadi lebih buruk karena pengguna semacam mengharapkan login Facebook, dan Open Id membuat mereka lebih bingung.

Dan saya tidak mulai dengan masalah yang sudah dibahas dalam Kode Horor tentang pengguna yang masuk di situs yang sama dengan akun Open Id yang berbeda dan masalah yang mungkin timbul ...

Secara keseluruhan, saya menyukai gagasan tentang Open ID, tetapi (sayangnya?) Facebook telah melakukannya dengan lebih baik.

Pere Villega
sumber
4
Saya telah melihat banyak implementasi yang memang buruk. Tetapi implementasi di sini di Stack Exchange, menurut saya, cukup bagus. Anda mungkin bisa melangkah lebih jauh dan membuat pengalaman yang sangat mirip dengan pengalaman 'masuk dengan Facebook' (juga Google dan Yahoo mendukung semacam hibrida OAuth atau OpenID / OAuth). Saya sepenuhnya setuju dengan fakta bahwa melihat beberapa penyedia layanan dapat menyesatkan dan menyebabkan beberapa masalah tambahan, tetapi di sisi lain hal itu memberikan fleksibilitas kepada pengguna Anda (juga saya tahu orang-orang yang tidak menggunakan Facebook).
DoPPler
Fakta bahwa saya harus login setiap kali saya pergi ke cabang SE yang berbeda membuat saya merasa implementasinya buruk. FFS, jika saya menggunakan OpenID saya untuk mendaftar di SO dan Prog, mengapa saya harus login di keduanya pada kunjungan yang sama? Ini kemajuan?!?
Drew