우리는 웹 시스템을 개발하고 있으며 Open Id 기능 사용을 고려하고 있습니다. 일반적인 사용자 로그인 방법보다 낫다고 생각하십니까? Open Id 기능을 사용하면 사용자가 더 많은 조치를 취할 수있는 Open Id 제공자가 선택한 사이트로 리디렉션됩니다. 그런 다음 로그인하여 사이트로 다시 연결해야합니다. 사용자가 이것에 익숙할까요?
참고 : 소셜 네트워킹 사이트에 가깝지만 부피가 큰 것은 아닙니다.
우리는 웹 시스템을 개발하고 있으며 Open Id 기능 사용을 고려하고 있습니다. 일반적인 사용자 로그인 방법보다 낫다고 생각하십니까? Open Id 기능을 사용하면 사용자가 더 많은 조치를 취할 수있는 Open Id 제공자가 선택한 사이트로 리디렉션됩니다. 그런 다음 로그인하여 사이트로 다시 연결해야합니다. 사용자가 이것에 익숙할까요?
참고 : 소셜 네트워킹 사이트에 가깝지만 부피가 큰 것은 아닙니다.
답변:
저는 OpenID를 좋아하며 "전통적인"사이트 별 자격 증명 은유보다 절대적으로 좋습니다. 더 많은 자격 증명을 관리하고 싶지 않으며 안전하게 제공하는 자격 증명을 저장하는 J. 랜덤 사이트를 신뢰하고 싶지 않습니다. 사용자가 점점 일반화되면서 더 편하게 사용할 수있을 것이라고 생각합니다. 잘만되면 그것이 더 평범 해지기를 바랍니다.
우리가 틀렸다면 지적하십시오.
부정적인 견해
긍정적 인 견해
OpenID는 여러 가지 장점을 제공하며, 그 중 가장 중요한 것은 인증에 게으르다는 점입니다. 인증은 여전히 문제이지만 적어도 자격 증명을 안전하게 저장하는 것에 대해 걱정할 필요는 없습니다. 이것은 제 생각에는 좋은 것입니다. 'net에는 serverfault와 같은 더 많은'신뢰 당사자 '가 필요합니다.
나는 개인적으로 사랑하는 OpenID로 넘어갔습니다. 나는 일반 편집증에서 그것에 저항했다. 이제 모든 것을 똑바로 유지하기에는 $ $에 너무 많은 고통이 있습니다. 저는 기술이 아닌 사용자가 처음에는 어려움을 겪을 것이라는 데 동의하지만, 더 널리 퍼질수록 사람들이 더 편안해질 것이라고 생각합니다. 일부 사이트는 기존 (로컬) 인증 시스템과 OpenID 사용 옵션을 모두 제공합니다. 교육이 여기에 많은 도움이 될 것이라고 생각합니다. OpenID가 무엇인지, 그 이점을 명확하게 설명하면 수용에 많은 도움이 될 것입니다.
싱글 사인온 (SSO) 기술로서 모든 SSO의 일반적인 위험에 노출되어 있습니다. 그 관점에서 아직 은행이나 의료 사이트를 통합 할 준비가되지 않았습니다. :) 어쨌든 그들에게 제공되지는 않습니다 ...
OpenID를 사용하면 일반적으로 범죄율 이 낮은 OAuth 를 원합니다 .
다른 사람들은 OpenID에 대해 충분히 정교하게 설명했으며, OAuth는 다른 사이트가 사용자가 OpenID 공급자를 통해 누구인지 알뿐만 아니라 해당 사이트가 자신에 대해 무엇을 알고 있는지 알 수 있다고 세트에 추가합니다.
모두 괜찮을 수도 있습니다. 어때요?
따라서 OpenID + OAuth 는 사용자 이름과 비밀번호를 보관할 수있는 단일 장소뿐만 아니라 자신에 대한 세부 정보를 유지하고 어떤 사이트가 자신에 대한 세부 정보에 액세스 할 수 있는지에 대한 개요를 잃어 버리지 않는 두 가지를 모두 사용하여 훌륭한 조합입니다.
OpenID가 많은 사용자를 확보 할 수있는 시나리오에 대해 생각할 수 있습니다. 주요 사이트에서 악의적 인 해커에 대한 수백만 개의 사용자 암호가 손실되고 목록이 유출된다고 가정합니다. 대부분의 사용자는 특정 계정 하나뿐 아니라 여러 사이트에 동일한 로그인 / 암호를 사용하기 때문에 당황 할 것입니다. 그리고 그들은. 알아요 그리고 이러한 계정을 추적하지 않으므로 암호를 절대 변경할 수 없습니다 .
악당이 내 계정을 훔칠 수 있다는 것을 알게되면 어떻게해야합니까? 암호를 변경하는이 압도적 인 작업을 수행하려고합니다. 또는 OpenID 개념을 우연히 발견하고 경우에 따라 이러한 모든 계정을 변환하려고 시도합니다. 이는 여러 사이트에 대해 여전히 단일 로그인 / 암호를 효과적으로 보유하고 있음을 의미하지만 이제는 적어도 모든 사이트에서 암호를 쉽게 변경할 수 있습니다 . 그리고 악의적 인 해커가 내 OpenID를 훔치는 경우 암호 재설정을 요청하거나 적어도 계정을 비활성화하는 데 문제가 있습니다.
[*]-읽기 : 스크립트 키디
다양한 웹 사이트를 방문할수록 싱글 사인온 기능이 더 필요합니다.
모든 웹 사이트는 가장 중요하게 생각합니다. 모든 웹 사이트는 무엇이든하기 전에 계정을 만들어야한다고 주장합니다. StackOverflow, Serverfault, Wikipedia, WowWiki, Wowhead, MS 포럼, CodeProject, CodePlex 등
그들은 모두 고유 한 사용자 이름, 암호 및 전자 메일 주소를 포크로 선택하도록 요구합니다. 그런 다음 그들은 나에게, 편집, 다운로드, 클릭, 댓글, 속도 등이 게시 할 수 있도록 없습니다 전에 내가 내 이메일을 확인 가서 주장 에는 나 사이트 내가 그것으로 방황하는 순간을 사용하지에 대한 이유는.
난 그냥 그들 모두를 닥치고 싶어 나는 블랙홀 인 전자 메일 주소로 모든 곳에서 사용할 수있는 단일 로그인을 원하므로 쓰레기를 읽을 필요가 없습니다.
OpenID 것 같습니다. 그러나 Google이 지원 한 후에 만 가능했습니다. 그 전에는 StackOverflow의 독자적인 로그인 시스템이었습니다. Google이 OpenID를 지원하므로 실제로 모든 사람이 이미 가지고있는 것으로 생각할 수 있습니다.
요즘에는 웹 사이트에서 계정을 만들어야하는 것을 싫어하고 먼저 계정을 만들어야한다고 생각하는 운영자를 저주합니다.
당신의 사이트를 혐오하게 만들지 마십시오 .
양쪽에서 openId를 사용하면 다음과 같은 이점이 있습니다. 1. 개발자는 로그인 시스템 (데이터베이스, 클라이언트 처리, 앱 보안 등)을 구현할 필요가 없습니다. 2. 사용자는 추가 자격 증명을 기억할 필요가 없습니다.
한편, 당신은 실제로 컴퓨터에 정통하지 않은 일부 사용자를 놀라게 할 수 있으며 귀하의 사이트에 로그인하기 위해 Google 자격 증명을 말하지 않을 것입니다.
가장 좋은 솔루션은 OpenID와 현장 등록을 모두 허용하는 하이브리드 시스템이지만 이것이 내가 언급 한 첫 번째 이점을 실제로 망칠 것입니다.
OpenID가 사용자에게 제공하는 다른 것은 더 강력한 자격 증명을 사용할 수 있다는 것입니다. 응답에서 피싱에 대한 우려가 있지만 피싱 가능 / 재생 가능 자격 증명을 전혀 사용하지 않는 OpenID 공급자를 선택할 수 있습니다. 예를 들어 SSL 공급자 또는 정보 카드는 일부 공급자에서 지원됩니다. myOpenID에는 로그인하기 전에 전화를 받아야하는 것이 있습니다. 하드웨어 토큰을 사용하는 다른 사이트가 있다고 확신합니다.
예, 대부분의 사용자는 Yahoo 버튼을 클릭하고 사용하지 않을 것입니다. 그러나 선택 사항을 제공하므로 구현 세부 정보에 대해 걱정할 필요가 없습니다. 크로스 브라우저 방식으로 SSL 인증서를 지원하는 것보다 사이트에 OpenID 지원을 추가하는 것이 더 쉽다고 주장합니다. 그리고 모든 SSL 인증서, 정보 카드, 전화 확인, 토큰 확인, DDRpass, 랜덤 도트 스테레오 그램 인증 또는 다음에 생각할 수있는 모든 것을 지원하는 것보다 훨씬 쉽습니다.
다른 사람의 마음을 바꾸려고하지 않습니다. 이 사실들을 고려하십시오. OpenID는 사용자 + 비밀번호 인증 시스템과 다른 두 가지입니다.
내가 지적하려고하는 것은 더 이상 아무것도 변경되지 않는다는 것입니다.
그것은 다른 기술과 같습니다. 사람들이 그것에 대해 이야기하는 대부분의 것들은 그것을 연구하는 데 시간이 걸리지 않았거나 잘못된 구현을 사용했기 때문에 신화입니다.
OpenID는 더 복잡하며 다운되지 않는 다른 공급자에 의존하게 만듭니다.
StackOverflow가 가지고있는 문제 중 하나는 일반적인 OpenId와 다른 OpenId로 로그인하면 등급과 배지가 손실된다는 것입니다 (지금까지 들리지 않았을 수도 있습니다). 서비스 제공 업체가 다운되어 한 시간 동안 로그인 할 수 없었습니다.
openID가 싫어서 serverfault / stackoverflow에 가입하지 않는 주된 이유였습니다. 사용자 개인 정보는 어떻습니까? 나와 같은 일부 사용자는 편집증이 있으며 다양한 웹 사이트간에 페이스 북 / 야후 / 구글 정보를 혼합하는 것을 좋아하지 않습니다
OpenID는 개념적으로 IMO에 직면하고 있습니다. a) 개발자가 구현하기가 어렵고 b) 사용자가 URL 사용 개념에 익숙해지기가 어렵 기 때문입니다. 이 시점에서 사용자 이름 / 비밀번호 사용 패턴은 매우 엄격하게 결정됩니다.
클릭 패스 ( www.clickpass.com )를 살펴보십시오 . OpenID를보다 쉽게 사용할 수 있도록 적극적으로 노력하고 있습니다.
행운을 빕니다.
아직.
브라우저 지원이 필요합니다. 브라우저는 OpenID를 통해 우수한 사용자 경험을 완성합니다. 사용자는 ID를 중앙 집중식으로 관리하고 매우 간단하게 만들 수 있습니다 (방문하는 웹 사이트가 OpenID를 사용하고있는 것 같습니다. http://yahoo.com 을 사용 하시겠습니까? / 사용자 로그인?)하고 보호합니다.
그러나 지금 당장 OpenID를 사용 가능하게하려면 상당한 노력이 필요합니다. 내가 알듯이 OpenID를 옵션으로 제공하거나 사용자에게 자신의 OpenID 공급자를 제공해야합니다 (타사 서비스를 자유롭게 사용할 수 있도록).
OpenID의 문제점은 누군가의 신원에 대한 신뢰 수준이 실제로 고려되지 않는 ServerFault와 같은 경우에 매우 유용하다는 것입니다.
인증 공급자를 제어 할 때 해당 공급자를 실행하기 때문에 해당 공급자를 암시 적으로 신뢰하고 필요한 표준에 따라 구현했기 때문에 복잡해집니다. 인증을 제어 범위 밖으로 옮기면 인증 공급자에게 신뢰 수준을 할당해야합니다.
법에 따라 고용주에게는 다음과 같은 이유로 주요 OpenID 제공 업체를 신뢰할 수 없습니다.
그것은 결코 포괄적 인 목록이 아닙니다.
사소한 응용 프로그램에서 OpenID를 사용하려면 신뢰할 수있는 공급자가 필요합니다. 사용자를 신뢰할 수있는 공급자 (또는 공급자)로 제한해야합니다. 이러한 종류의 "단일 사용자 이름 / 비밀번호"의 이점을 모두 상실합니다. 그럼에도 불구하고 더 높은 신뢰 수준의 사용자에 대해서는 여전히 신원 확인이 필요할 수 있습니다. 특히 자신의 인증 공급자를 관리하는 것이 로켓 과학이 아닌 경우 많은 작업처럼 보입니다.
IMO는 정부가이 기술을 작동시킬 수있는 잠재력을 가지고 있습니다. 주 /도 DMV 또는 우체국이 시민들이 OpenID를 통해 액세스 할 수있는 온라인 자격 증명을 설정하는 서비스를 제공 한 경우 우체국 / DMV 자격 증명을 신뢰할 수 있습니다. (정부가 '우리를 믿어야한다'고 말했기 때문에) 노르웨이와 덴마크 같은 국가는 이미 개인 PKI 자격 증명을 발급하고 있다고 생각합니다.
소셜 네트워킹 사이트의 경우 OpenID는 기술에 정통한 사용자를 유치하는 데 도움이됩니다. 그러나 이것이 유일한 선택이라면 다른 모든 사람들을 놀라게 할 것입니다. 사용자는 각 사이트에서 새 로그인 및 비밀번호로 가입하는 데 익숙합니다. OpenID는 새롭고 외국 적이기 때문에 사용자가 왜 자격 증명을 타사에 제공하는지 궁금해 할 수 있습니다. 일반적인 사용자에게 OpenID는 GiveMeYourInformationSoICanSpamYou라고 말할 수도 있습니다. 이것이 사이트의 무결성을 의심하는 이유 중 하나 일뿐입니다.
간단히 말해 사용자 기반을 결정하고 OpenID를 긁거나 OpenID와 응용 프로그램 관리 로그인 시스템을 모두 사용하십시오.
사람들이 왜 openID가 더 안전하다고 생각하는지 궁금합니다. 기술에 정통한 사용자에게는 이것이 적용될 수 있지만 일반 사용자는 실제 openID 로그인과 비밀번호를 긁는 가짜 로그인의 차이를 발견하지 못합니다.
더 나쁜 것은이 암호와 연결할 OpenID 계정을 알고 있으며 단순한 사용자 이름 / 이메일 / 암호 조합보다 훨씬 더 많은 피해를 입힐 수 있다는 것입니다.
openID는 기술 사용자를위한 기술 솔루션이며 일반 사용자에게는 그다지 도움이되지 않습니다. 따라서 기술 사이트의 경우 화려할 수 있지만 곧 일반 사이트의 경우에는 표시되지 않습니다.
나는 그 말을 오픈 ID는 보통 로그인 솔루션보다 더 나은, 예를 사용자의 관점에서 이러한 이유 :
OpenID 옵션이 있다고해서 OpenID를 사용하지 않거나 사용하지 않으려는 경우 사용자에게 기존 사용자 이름 + 비밀번호 콤보를 사용하는 백업 옵션을 제공 할 수는 없습니다. 공급자. 와 아무것도 잘못된 오픈 ID에 디폴트 그렇지 않으면 사용자가 알고 있다면 그들이 원하는 선택시키는 및 IMO, :)
이 분야에서 일하면서 우리는 다양한 로그인 자격 증명 정보를 얻습니다. OpenID를 사용하면 다른 계정과 암호를 설정할 필요없이 이미 설정된 계정을 사용하여 본인을 인증 할 수 있습니다. 많은 사이트에서 OpenID를 지원하기 시작하면 ID를 확인하는 데 사용하는 OpenID 인증자가 훨씬 더 많이 선택됩니다.
이미 존재하는 인증 자 중 하나를 사용하지 않으려는 경우 자신의 사이트에 고유 한 OpenID 인증자를 설정할 수도 있습니다. 이를 통해 인증시 제공되는 정보를 정확하게 제어 할 수 있습니다.
계정을 만들거나 OpenID를 사용하여 인증 할 수있는 옵션은 보안 편집증과 사용 편의성을 원하는 것을 모두 포함하는 훌륭한 조합입니다.
OpenID가 훌륭하다고 생각하며 사이트에서 고려하고 있습니다. 그러나 oAuth가 필요하며 사용자의 이메일도 원할 것입니다. 우리는 그것을 광범위하게 사용하며, 우리가하는 한 가지는 뉴스 레터를 이메일로 보내는 것입니다. 우리는이를 거부 할 수 있지만 시스템이 작동하려면이를 원할 것입니다.
사용자 / 암호를 포기하는 것을 싫어하는 핵심 기술 그룹이있는 것 같습니다. 일부는 개인 정보 보호 옹호자이며 완전히 이해합니다. 일부는 단지 게으르고, 사용자 / 비밀번호를 설정하고 싶지 않으며, 일부는 단지 수취인입니다. 그들은 인터넷에서 정보를 얻고 싶어하지만 어쨌든 (광고, 비용 등) 어떤 식 으로든 비용을 지불하지 않습니다. 나는 대부분의 사람들이 자신이 기여하거나 어떤 방식으로 지불해야한다는 것을 이해하기 때문에 소수의 사람들이라고 생각합니다. .
사이트, 필요한 세부 정보 / 정보를 검사 한 다음 필요에 맞는지 결정해야합니다. 이 경우 현재 로그인 방법 외에 추가 할 수 있습니다. 사람들에게 연락하고 사물 등을 알려야합니까?
중앙에서 자신을 인증하는 방법은 훌륭하지만 암호 변경 / 복잡성이 부족한 문제가 있습니다. 그러나 그것은 사이트 문제 이상의 사용자 문제입니다. 타협은 사용자 수준에서 이루어지며 결코 해결할 수 없습니다. 그러나 이는 사이트 소유자로서 귀하에게 책임이 없음을 의미합니다.
OpenID에서 볼 수있는 유일한 문제는 다음과 같습니다.
두 개의 제휴 사이트를 상상해보십시오. 둘 다 OpenID 로그인을 허용합니다. 분명히 그들은 서로 간의 활동 통계를 공유 할 수 있습니다-예를 들어 첫 번째 사이트에서 작업 X와 작업 Y를 수행 한 다음 두 번째 사이트를 방문하면 첫 번째 사이트의 내 활동에 따라 타겟팅 된 광고로 폭격을 당합니다. 어떤 이유로 OpenID 로그인 간의 격리 부족은 약간 불쾌한 것 같습니다.
그러나 OpenID의 궁극적 인 편의성 (하나는 안전하고 자격 증명 세트)이 앞서 언급 한 단점으로 인해 사라지지 않는다는 것입니다. 나는 가능한 곳에서 OpenID를 사용하고 대중을 위해 웹 서비스를 개발해야 했으므로 OpenID를 지원할 것입니다 (아마도 일반적인 등록 옵션으로).