有什麼理由不使用OpenID？

45

平均用戶仍然不明白OpenId是什麼，它是什麼或如何使用它。例如，我的父母將無法登錄到堆棧溢出。

這就是說，這主要是關於用戶界面。沒有什麼能阻止他們使用OpenId - 他們只需要一個用戶界面，將OpenId從他們中抽象出來，並讓他們用他們的Google賬戶登錄（例如）。

2009-01-04 00:10:30

12

是安全。使用OpenId可以讓他們管理他們的賬戶。您無法控制密碼安全性和用戶標識。您相信其他一些組織可以確認訪問您網站的人是他們自稱的人。如果你需要真正確認某個人是他們所說的那個人。如果沒有進行某種二次驗證，您將無法使用開放標識。在這種情況下，你可能不會使用OpenId。如果所有的網站都使用它

http://www.computerworld.com/s/article/9179224/Researchers_Password_crack_could_affect_millions

來源

2009-01-03 23:37:44 kemiller2002

+4

使用第三方驗證是一種有效的安全形式。例如，我們信任並支付第三方公司頒發的SSL證書，認爲這比自行頒發的證書更可取。 – null 2009-01-11 06:53:29

+0

對，但這是不同的。 OpenId不會驗證您超出註冊帳戶的人告訴他們的人。如果他們做了背景調查等，那就會有所不同，那麼這一切都取決於你信任第三方如OpenId的程度。 – kemiller2002 2009-01-13 03:25:25

+0

如果您使用受信任提供商的白名單，則不必驗證自己。 – 2009-01-16 17:14:54

3

OpenID是好的。但是要註冊到OpenID只是使用一個站點，它有點太多了。註冊OpenID並不像直接在網站上註冊（從消費者的角度）。

來源

2009-01-03 23:38:12 luiscubal

+1

好吧，那種真實。每個擁有Google，AOL，Yahoo，Livejournal或Flickr賬戶（以及近期的Hotmail/MSN）的用戶都有一個OpenID帳戶。但是，他們可能不知道* – Gareth 2009-01-04 00:09:21

+0

我使用Google通過我的gmail帳戶信息登錄。 – 2009-08-18 10:42:00

+0

這只是一個臨界質量問題。隨着「大玩家」開始採用這樣的標準，它開始變得越來越有意義。引導它當然是最困難的障礙，我認爲在OpenID的情況下發生的速度相當快，所有事情都考慮在內。 – 2010-01-02 13:48:27

0

在使用OpenID時，每個人都可以將我在一個站點上執行的操作連接到我在其他站點上執行的操作，因爲它在任何地方都是一樣的。所以我不會使用這裏用於色情網站的相同ID，例如。

來源

2009-01-03 23:41:26 Bob

+2

沒有什麼能阻止你擁有多個OpenID，就像沒有任何東西阻止你擁有多個電子郵件地址一樣。 OpenID的好處是*用戶*可以決定誰存儲他們的密碼而不是網站。 – Gareth 2009-01-03 23:52:44

+1

仍然有很多與OpenID相關的信任問題，很顯然，如果一個帳戶*被泄密，那麼仍然存在很大問題（因此OID不一定適用於廣泛使用），但跨站點跟蹤不是那些原因。 – Gareth 2009-01-03 23:54:33

0

有很多原因這是一個帳戶，使訪問所有。如果這是妥協，你陷入困境。

如果你正在設置一個使用openid的頁面，那麼你應該知道每個人都可以設置一個openid服務器（垃圾郵件發送者也可以這麼做）。

-

但openid有很好的想法，我喜歡用它！

來源

2009-01-03 23:42:38

2

這是正常註冊的補充，但如果它是登錄到您的網站的唯一方式並不是很容易使用。看看在stackoverflow註冊 - 所有的網站都特別提到，以幫助人們瞭解這是什麼。而這個網站是爲極客:) 所以減去是複雜性。

另見this link

來源

2009-01-04 17:37:25 Malx

19

OpenID是壯觀易受網絡釣魚企圖。如果您運行的是OpenID網站，則有一天嘗試更改登錄頁面以請求標識爲和的密碼，而不是僅請求標識符並重定向到OpenID提供程序以請求用戶密碼的常規方法。我敢打賭，你可以通過這種方式獲得用戶密碼的四分之一。

來源

2009-01-04 18:19:41 Ross

5

OpenID與其他所有基於密碼的身份驗證方法一樣不安全。事實上，情況更糟，因爲如果有人訪問您的OpenID，他們現在不僅僅擁有一個帳戶。當然還有釣魚攻擊，但我們都是精明的程序員，數據庫和系統管理員，所以我們不會因此而陷入困境，對吧？

身份驗證安全性基於信任。正如其他人指出的，爲什麼你會信任第三方潛在的敏感信息？當然，你可以自己設置一個OpenID服務器，但是與在多個系統上維護單獨的密碼相比，有多麻煩？當然，你可以創建一個很長且充滿非字母數字字符的安全密碼，甚至將它們全部存儲在一個密碼管理器中（我這樣做），但有些網站有缺陷，因爲可以填寫一個簡單的密碼恢復表單來獲得訪問重置密碼。

如果確實可以保護基於私鑰的身份驗證，la SSH或PGP，我可能會傾向於支持並傳播OpenID。也許這是提供這種方法的提供者的問題 - 我還沒有研究它。最後，雖然我們都信任OpenID足以使用它在Stack Overflow上進行身份驗證，但我的OpenID是一種「一次性」，它並不像我將它用作專業聲譽構建工具（即我的真實姓名不涉及;-)）。我敢肯定，我不是唯一一個（就像這個網站一樣酷炫！）。

來源

2009-01-05 08:07:31 jtimberman

0

我很驚訝有人使用堆棧溢出不能想到不使用OpenId的原因 - 因爲它是討厭的地獄？！

Ted Dziuba做得比我想的要好得多ripping into OpenId，所以請看他寫的東西。

另一個很好的理由 - Facebook Connect似乎已經做得很好。隨着Facebook的會員數量不斷增長，它將使Facebook Connect支持變得更有價值。

在某些時候，我想Facebook可以讓Connect連接一個OpenId提供商......但是真的，他們爲什麼要這樣做？

來源

2009-01-09 05:54:27 bpapa

71

說普通人不懂OpenID可能會有些不準確。

在大多數情況下，通過一點有說服力的營銷（即「使用一個登錄所有網站!!! 11！），他們可以理解，它允許他們使用一次登錄登錄網站，而不是一堆不同的用戶名和密碼在不同的地點。

的問題，但是，是一個普通用戶，整個OpenID的經驗，違背了他們認爲網絡安全是。

用戶不會自動相信它

用戶使用正常的用戶名/密碼登錄時，用戶知道密碼應該保密，並且這是在他們登錄網站時保護他們的隱私。他們如何理解OpenID客戶端站點和OpenID提供者之間的交流？他們所知道的是，他們不必輸入密碼（假設他們在他們的OpenID提供程序中「始終登錄」） - 所以它不安全，對吧？我的意思是，在用戶眼中，如果他們沒有給密碼的話，它怎麼可能是安全的？這可能導致用戶不信任。
這使得網絡釣魚容易

（許多）用戶知道這是錯的重新使用不同的帳戶相同的密碼，然而這似乎正是OpenID是做什麼。如果用戶簡單地假設他們的所有OpenID提供者正在做的是與所有參與站點共享密碼？我的意思是，OpenID如何在所有這些網站上爲他們「登錄」？如果用戶通過OpenID假定他們的密碼對所有參與的OpenID網站都是已知的，他們可能會認爲將這個密碼分配給任何這些網站是相當合理的。這是一個網絡釣魚的噩夢。想象一下把這句話放在你的網站上：「請輸入你的（某些OpenID提供者）用戶名[]和密碼[]」。你已經在網上釣魚了。

我們不能忘記，那就是，一個用戶將權在他們的一個方面懷疑，即使一個稍微不同的原因：如果有人獲得了對自己的OpenID提供商訪問他們獲取他們的身份在所有他們使用該身份的網站，這與在多個網站上使用相同密碼的缺點相同。
它偏離哪些用戶瞭解

有多個用戶名太多/在不同網站的密碼是不是很難讓用戶理解。用戶很好地理解了用戶名和密碼的概念，因爲他們習慣了這些用戶名和密碼，並且安全點（密碼是祕密）對他們來說是非常明顯的。密碼的工作原理非常清楚。擁有多個用戶名和密碼組合並不會使這變得更加令人困惑或複雜 - 它只是同一件事，但其中不止一個。雖然記住多個密碼可能是困難的，用戶至少知道如何來做到這一點，以及它是如何工作的。

的OpenID試圖解決記住多個密碼的問題，但在此過程中它創建了一個完全新的範例，其中一個是完全不透明給用戶。不像密碼，其安全性是顯而易見的（它只是是祕密的），所有的OpenID的安全的那張幕後，與網站相互，鑰匙和哈希等。用戶不再完全知道如何傳達他們的隱私正在得到保護，或者由誰保密，因爲他們不明白系統是如何工作的。因此，爲了解決記住多個密碼的問題，OpenID創建了一個神祕的密鑰交換系統，這違反了用戶對身份驗證如何工作以及爲什麼安全的完整理解。

來源

2009-03-01 15:52:32 thomasrutter

1

如果您有需要高安全級別的網站，你不想離開您的登錄憑據的處理向外部提供服務，在這裏你有過任何訪問控制。如果OpenID提供商遭到黑客入侵，那麼您的安全權限就會放在他們身上。

來源

2009-03-01 16:03:14 MattBelanger

9

這出現了很多。

一個很好的規則：

如果您需要收集和保存私人的個人身份信息，不要使用OpenID的。

如果您不需要收集並保留私人個人身份信息信息，請繼續並提供OpenID 作爲登錄方法。

對於電子商務或其他需要遵守PCI/DSS認證的地方，我不會使用OpenID。

我不介意SO完全是OpenID，但是我不會創建一個專門用它的網站。

來源

2009-03-01 16:07:50

0

從我可以告訴，它看起來像一個OpenID提供者不需要給出一個帳戶持有人的電子郵件地址，但有些人做。

如果您的服務需要一個電子郵件地址與其用戶進行通信（例如，發送一份簡訊 - 許多從未聽說過RSS的人喜歡），那麼您可能需要捕獲一個OpenID並驗證電子郵件地址。

只需要電子郵件地址和密碼並且使用激活電子郵件消息的系統對於用戶而言是較少工作的系統。

來源

2009-09-27 02:54:36

6

界面很糟糕。

a。註冊OpenID需要更多時間和精力。正常註冊只需要很少時間或精明。註冊發生一次，但它是一個很大的前期投資，所以該網站必須是很引人注目。

b。登錄涉及：三條數據而不是兩條;兩個網頁而不是一個（實際上在StackOverflow中爲三個）;和一個外部網站。每次。

c。這種解決方案有更好的接口。例如，我使用KeePass。
名稱衝突。沒有辦法確保唯一的名稱。
安全性很差。

a。它鼓勵類似網絡釣魚的行爲。它不像「Visa驗證」那麼糟糕，但它很接近。

b。單點失敗：如果輸了什麼，你輸了一切。 KeePass至少允許我在物理上保護密碼（您必須擁有帶有加密數據庫的硬盤）。

c。跨網站跟蹤。信用卡公司實際上已經制定了管理他們允許做多少跟蹤的規則。在現代瀏覽器中可以選擇禁用或禁止Cookie。 OpenID沒有規則，也沒有管理員。
它實際上不是普遍的。谷歌提供的OpenID ...但不是使用他們。雅虎也一樣。對於美國在線。 OpenID提供商不允許使用來自其他提供商的OpenID。
OpenID對於身份驗證很有用，但對於授權，尤其有用，尤其對於任何敏感的信息（例如信用卡）。

對於我個人而言，我使用一個登錄/每個網站的密碼，我使用KeePass的（我可以用身體護住，並必須破解密碼的兩層），以維持一個登錄，換處處抽象。

這包括StackOverflow：我創建了一個OpenID 專門爲你們，，我永遠不會在其他地方使用它。我做到了這一點，我承受登錄的痛苦，因爲內容是令人信服的。

但是，如果一個實際驗證方法曾經爲StackOverflow提供，我會在心跳中跳過它，只是爲了易用性增益。

來源

2009-09-30 18:03:38

3

這很有趣，給我讀這個話題，它反映了正是我使用OpenID的經驗：

StackOverflow.com是我得到一個OpenID的原因。
許多谷歌搜索引導我到這個網站，我從來沒有留下評論。
我想過多次註冊，但我沒有因爲OpenID。我不清楚它到底是什麼。
但有一天，我決定註冊並花了我一段時間，但我不後悔，因爲我每天都在使用它。它給了我一個更加安全的感覺，儘管我知道這只是一個帳號，如果它被釣到會導致很多問題。

對我來說，OpenID是一個非常好的方式來快速登錄我不知道的網站，但也在更大的網站，如StackOverflow.com
主要問題是，新用戶需要推入註冊過程然後發現OpenID實際上有多棒。

來源

2010-01-02 13:27:07 Daan

0

您擁有的OpenID帳戶提供商的數量（谷歌，雅虎，Twitter等等）等於您可以自動用於登錄OpenID網站的帳戶數量。這當然不是一個優勢，但它可能是一個很大的缺點。

來源

2010-04-12 13:34:23 unpangloss

3

我今天遇到了一篇文章，這篇文章對於跳過OpenID的一個非常強烈的例子來說，是一個對最初熱衷的人產生興趣的人。