Um OpenID zu verwenden oder nicht zu verwenden?

8

Ich bin neu auf dieser Seite, aber ich habe die Regeln gelesen und auch den Fragenbereich durchsucht, aber keine ähnliche Frage gefunden, die gut beantwortet wurde.
Wie auch immer, die Frage: Was sind die Vorteile? &Ampere; Nachteile die Verwendung von OpenID auf einer Website anstelle eines regulären Anmeldesystems? Mein Kunde möchte, dass ich diese Art von Logins für ein lokales Verkaufssystem verwende. Ich habe keine Idee warum!? Danke im Voraus.

    
S. Luther 30.03.2009, 06:42
quelle

5 Antworten

18

OpenId wird von Stackoverflow implementiert. Da Sie sich gerade angemeldet haben, haben Sie vielleicht die Vorteile selbst erfahren.

Grundsätzlich kann es verwendet werden, um Benutzern zu ermöglichen, sich auf der Website anzumelden, ohne ein Konto zu erstellen oder Ihnen persönliche Daten zukommen zu lassen. Solange sie ein Konto bei einem OpenId-Anbieter haben, den Ihre Website unterstützt (z. B. Google), können sie einfach ihren Google-Nutzernamen und ihr Passwort verwenden, um sich über Ihre Website anzumelden. Dies kann die Kundenbindung erhöhen und die Wahrscheinlichkeit verringern, dass Benutzer das Passwort vergessen, weil sie ihr Passwort vergessen haben.

Hier ist eine Übersicht von 37signals.com, die die Vorteile von OpenId für ihre Anwendungen erklärt: Ссылка

Und natürlich finden Sie viele weitere Informationen unter: Ссылка

    
Gdeglin 30.03.2009, 06:49
quelle
10

Ich kann keine Gründe finden nicht , es zu verwenden, aber es gibt einige Dinge, die Sie beachten sollten.

Ich würde vorschlagen, OpenID als einen alternativen -Mechanismus anzubieten, hauptsächlich wegen mangelnder Benutzerwahrnehmung. Viele Entwickler sind damit nicht vertraut, daher werden die Benutzer sicherlich nicht verwirrt sein, wenn sie OpenID auf der Anmelde- / Anmeldeseite sehen und ihr Google- oder Yahoo-Login / Passwort anfordern (Was ist OpenID? Was hat mein Google-Login? mit dem Kauf eines Toasters zu tun?). Folglich werden sie zu Google oder einer anderen Website weitergeleitet, um zu bestätigen, dass sie Ihrer Website Zugriff auf ihre Anmeldedaten gewähren möchten, die sie möglicherweise noch weiter verwirren könnten (erhalten diese Personen Zugriff auf meine Google Mail?). Aus Sicherheitsgründen könnte Ihre Site nach meinem Wissen möglicherweise meine Google-Login-Daten speichern und ich könnte eine Anmeldung oder einen Kauf aufgrund von Vertrauensproblemen abbrechen.

Je nach Art der Site kann es sinnvoll sein, ein Login / Passwort-System auf der Front und openID auf der Seite zu platzieren.

    
aleemb 30.03.2009 07:14
quelle
3

Obwohl für uns Techies, OpenID-Vorteile ziemlich offensichtlich sind, fällt es normalen Benutzern manchmal schwer, die Idee zu verstehen, den Login einer Site zu verwenden, um sich auf einer anderen Site anzumelden. Sie sind einfach daran gewöhnt, ein Konto für die Website zu erstellen, die sie gerade verwenden.

Das Hauptproblem war, dass die Benutzer nicht vollständig wussten, was OpenID war. Mithilfe von Usability-Studien wurde es durch die Förderung der OpenID-Anmeldung als eine Möglichkeit, Anmeldeinformationen des Kontos, das sie bereits haben, wie Yahoo, GMail oder MS Passport eins, zu fördern, da ihre Betreiber in letzter Zeit OpenID-Anbieter geworden sind. Wie Yahoo sagte , "Fördere das Dienstprogramm, nicht die Technologie".

Und natürlich ist es wichtig zu betonen, dass sie nicht noch einen weiteren Account und noch ein Passwort haben müssen, um sich daran zu erinnern (oder ein anderes Post-It anzulegen;)) und dass die konsumierende Seite keinen Weg hat um die Anmeldedaten des Providers zu speichern. Das sollte ausreichen, um sie davon zu überzeugen.

Aber aufgrund der unterschiedlichen Natur der Seiten, die die Openid-Anmeldung bereitstellen, würde ich mich ungern mit meinem Bankkonto anmelden.

    
macbirdie 30.03.2009 07:43
quelle
2

Ein Grund NICHT OpenID zu verwenden ist Sicherheit.

Wenn ein Benutzer einen OpenID-Anbieter eines Drittanbieters (Google, Yahoo, usw.) verwendet, kann ein böswilliger Mitarbeiter des Anbieters, der auf Zugriff hatte, die Anmeldeinformationen erhalten und das Benutzerkonto ausnutzen.

Ich bin auf dieses Szenario gestoßen, als ich eine interne Anwendung zur Verwaltung eines wichtigen Dienstes für einen Kunden entworfen habe. OpenID war sehr attraktiv, da die Benutzer bereits mit den externen Diensten vertraut waren (jeder hat anscheinend einen Google Mail- oder Yahoo-Account). Der Nachteil war, dass jeder Exploit zu Hunderttausenden von Dollar Umsatzverlust geführt haben könnte.

Die Lösung bestand darin, eine zusätzliche Sicherheitsebene zu implementieren, die für den Benutzer transparent und vom OpenID-Anbieter nicht ausnutzbar war: Der Anmeldebildschirm der Anwendung konnte nur über das Firmennetzwerk erreicht werden.

    
BryanH 01.04.2009 18:56
quelle
1

Sie sollten wissen, dass openID anfälliger für Phishing sein kann, weil die Benutzer weniger darüber wissen. Wenn eine bösartige Website vorgibt, openID zu implementieren, aber den Anmeldeversuch an eine von ihr kontrollierte bösartige Website weiterleitet (z. B. eine Google-Anmeldung imitiert), kann sie auf allen openID-Websites Zugriff auf das Konto dieses Phishing-Nutzers erhalten. Wenn Sie also openID verwenden, kann es eine höhere Wahrscheinlichkeit für Bots und böswillige Benutzer geben oder vielleicht auch nicht.

Wie das in der Praxis funktionieren wird und ob es zu einem Sicherheitsproblem werden wird, ist eine Vermutung. Ich glaube, es gibt auch einige vorgeschlagene Änderungen am openID-Standard, um diese Angriffe zu mildern, obwohl ich die Details nicht kenne.

    
sooniln 31.03.2009 19:13
quelle

Tags und Links