web-dev-qa-db-ja.com

OpenIDを使用しない理由は何ですか?

あなたはOpenIDについて(とにかくオタクコミュニティで)かなりの部分を見ます。それは良い考えのようです。私はややオタクの少ないオーディエンスをターゲットにするWebサイトを開発しているので(ただし、ママとポップスもそれほどではありません)、OpenIDが一部のオーディエンスにとって「難しすぎる」のではないかと考えなければなりません。

どう思いますか?それはさておき、OpenIDを使用しない他の技術的または非技術的な理由はありますか?

58
cletus

平均的なユーザーは、OpenIdとは何か、その目的、またはその使用方法をまだ理解していません。たとえば、私の両親はStackOverflowにログインできません。

そうは言っても、これは主にユーザーインターフェイスに関するものです。本質的にOpenIdの使用を妨げるものは何もありません。OpenIdを抽象化してGoogleアカウントでログインできるようにするユーザーインターフェイスが必要なだけです(たとえば)。

45
Scotty Allen

平均的な人がOpenIDを理解していないと言うのは少し不正確かもしれません。

ほとんどの場合、少し説得力のあるマーケティング(つまり、「すべてのサイトで1つのログインを使用!!! 11!」)を使用すると、さまざまなユーザー名とパスワードを使用するのではなく、1回のログインでサイトにログインできることを理解できます。さまざまなサイト。

ただし、問題は、平均的なユーザーにとって、OpenIDエクスペリエンス全体が、オンラインセキュリティであると彼らが信じているものに反することです。

  • ユーザーは自動的にそれを信頼しません

    通常のユーザー名/パスワードログインでは、ユーザーはパスワードを秘密にしておく必要があることを理解しています。これにより、サイトにログインするときにプライバシーが保護されます。 OpenIDクライアントサイトとOpenIDプロバイダーの間で行われる交換をどのように理解していますか?彼らが知っているのは、パスワードを入力する必要がなかったということだけです(OpenIDプロバイダーで「常にログインしている」と仮定した場合)-したがって、安全ではありませんよね?つまり、ユーザーの目には、パスワードを入力しなかった場合、どうすれば安全にできるのでしょうか。これは、ユーザーの不信につながる可能性があります。

  • フィッシングを容易にします

    (多くの)ユーザーは、異なるアカウントに同じパスワードを再利用するのは間違っていることを知っていますが、これはまさにOpenIDが行っていることのようです。ユーザーが、OpenIDプロバイダーが行っているのはすべての参加サイトとパスワードを共有していると単純に想定している場合はどうなりますか?つまり、これらすべてのサイトでOpenIDが「ログイン」する方法は他にあるでしょうか。ユーザーがOpenIDを介して、参加しているすべてのOpenIDサイトにパスワードが知られるようになると想定した場合、これらのサイトのいずれかにこのパスワードを提供することは非常に合理的であるとユーザーは想定する可能性があります。それはフィッシングの悪夢です。あなたのサイトにこのフレーズを置くことを想像してみてください:「あなたの(いくつかのOpenIDプロバイダー)ユーザー名[]とパスワード[]を入力してください」。あなたはすでに人々をフィッシングしています。

    また、ユーザーが正しい疑いを持っていることも忘れてはなりません。理由は少し異なります。誰かがアクセスした場合です。 OpenIDプロバイダーにとって、IDを使用したすべてのサイトでIDにアクセスできます。これは、複数のサイトで同じパスワードを使用することと同じ欠点です。

  • ユーザーが理解していることから大きく逸脱している

    異なるサイトに複数のユーザー名/パスワードがあることは、ユーザーが理解するのは難しくありません。ユーザーは、ユーザー名とパスワードに慣れているため、ユーザー名とパスワードの概念をよく理解しており、セキュリティのポイント(パスワードが秘密であるという事実)はユーザーにとって非常に明白です。パスワードがどのように機能するかは本当に明らかです。ユーザー名とパスワードの組み合わせが複数あるからといって、これが混乱したり複雑になったりすることはありません。同じことですが、複数の組み合わせがあります。複数のパスワードを覚えるのは難しい場合がありますが、ユーザーは少なくともそれを行う方法とその仕組みを知っています。

    OpenIDは、複数のパスワードを記憶するという問題を解決しようとしますが、その過程で、ユーザーには完全に不透明なまったく新しいパラダイムが作成されます。セキュリティが明らかな(秘密である必要がある)パスワードとは異なり、OpenIDのすべてのセキュリティは、サイトが相互に通信したり、キーやハッシュなどを使用したりして、舞台裏で行われます。彼らはシステムがどのように機能するかを理解していないため、プライバシーは保護されているか、誰から何を秘密にしておくべきか。そのため、複数のパスワードを記憶するという問題を解決するために、OpenIDは、認証がどのように機能し、なぜ安全であるかについてのユーザーの全体的な理解に違反する、神秘的な鍵交換システムを作成しました。

71
thomasrutter

OpenIDは、フィッシングの試みの影響を非常に受けやすくなっています。 OpenIDサイトを運営している場合は、識別子を要求し、OpenIDプロバイダーにリダイレクトしてユーザーのパスワードを要求するという通常のアプローチではなく、ログインページを変更して識別子およびパスワードを要求してみてください。この方法で、ユーザーのパスワードの4分の1を超えることができると思います。

19
Ross

ええセキュリティ。 OpenIdを使用すると、アカウントを管理する彼らに翻弄されます。パスワードのセキュリティとユーザーIDを制御することはできません。あなたは他の組織を信頼して、あなたのサイトに来る人々が彼らが言っている人であるかどうかを確認しています。誰かが本人であるかどうかを本当に確認する必要がある場合。何らかの二次検証を自分で行わないと、openidではそれを取得できません。その場合、OpenIdを使用しない方がよいでしょう。

http://www.computerworld.com/s/article/9179224/Researchers_Password_crack_could_affect_millions

12
kemiller2002

これはたくさん出てきます。

良いルール:

個人を特定できる個人情報を収集して保持する必要がある場合は、OpenIDを使用しないでください。

個人を特定できる個人情報を収集して保持する必要がない場合は、ログイン方法としてOpenIDを提供してください。

Eコマース、またはPCI/DSS認定に準拠する必要があるその他の場所では、OpenIDは使用しません。

SOはOpenIDだけですが、それだけを使ったサイトは作りません。

9
Tim Post
  1. インターフェースはひどいです。

    a。 OpenIDに登録するには、より多くの時間と知識が必要です。通常の登録には、ほとんど時間や知識が必要ありません。登録は発生します1回しかし、それは多額の先行投資であるため、サイトは非常に魅力的でなければなりません。

    b。サインインには次のものが含まれます。2つではなく3つのデータ。 1つではなく2つのWebページ(実際にはStackOverflowで3つ)。および外部Webサイト。毎回。

    c。この種のソリューションには、より優れたインターフェイスがあります。たとえば、KeePassを使用しています。

  2. 名前の衝突。一意の名前を保証する方法はありません。

  3. セキュリティはひどいです。

    a。フィッシングのような行動を助長します。 「Visaによる検証」ほど悪くはありませんが、近いです。

    b。単一障害点:負けた場合何でも負けた場合すべて KeePassでは少なくともパスワードを物理的に保護できます(暗号化されたデータベースがインストールされたハードドライブが必要です)それ)。

    c。クロスサイト追跡。クレジットカード会社は実際に、許可されている追跡の量を管理する規則を定めています。最新のブラウザでは、Cookieを選択的に無効または防止できます。 OpenIDにはルールもガバナーもありません。

  4. それは実際には普遍的ではありません。 GoogleはOpenIDを提供しています...しかし提供していませんseそれら。 Yahooも同じです。そしてAOLのために。 OpenIDプロバイダーが他のプロバイダーからのOpenIDの使用を許可するインセンティブはありません。

  5. OpenIDは認証には役立ちますが、authorization、特に機密性の高いもの(クレジットカードなど)には役立ちません。

個人的には、サイトごとに1つのログイン/パスワードを使用し、KeePass(物理的に保護でき、解読する必要のある2層のパスワードで保護できます)を使用して、どこでも1つのログインの抽象化を維持します。

これにはStackOverflowが含まれます:私はOpenIDを作成しました特に皆さんのためにそして私はそれを他のどこにも使用しません。私はこれをしました、そして私は我慢してコンテンツが説得力があるのでログインの苦痛。

しかし、real authメソッドがStackOverflowに提供されたことがあれば、使いやすさを向上させるために、ハートビートでジャンプします。

6
Thomas Weigel

OpenIDは、他のすべてのパスワードベースの認証方法と同じくらい安全ではありません。実際、誰かがあなたのOpenIDにアクセスした場合、その人は現在その1つ以上のアカウントを持っているため、さらに悪いことになります。もちろんフィッシング攻撃もありますが、私たちは皆、知識豊富なプログラマー、データベース、システム管理者なので、そのようなことに陥ることはありませんよね?

認証のセキュリティは信頼に基づいています。他の人が指摘したように、なぜあなたは潜在的に機密情報に第三者を信頼するのですか?もちろん、OpenIDサーバーを自分でセットアップすることはできますが、複数のシステムで別々のパスワードを維持するのと比べて、どれほど面倒ですか?確かに、長くて英数字以外の文字でいっぱいの安全なパスワードを作成し、それらをすべてパスワードマネージャーに保存することもできます(私はそうします)が、簡単なパスワード回復フォームに記入して取得できるという欠点があるサイトもありますパスワードをリセットするためのアクセス。

秘密鍵ベースの認証、つまりSSHまたはPGPが安全である場合、OpenIDをサポートし、さらには伝道する傾向があるでしょう。多分それはそのような方法を提供するプロバイダーの問題です-私はそれを[まだ]調べていません。

最後に、私たちは皆、Stack Overflowで認証するためにOpenIDを使用するのに十分信頼していますが、私のOpenIDは「使い捨て」であり、これをプロの評判構築ツールとして使用しているわけではありません(つまり、私の本名は関係ありません) ;-))。私だけではないと確信しています(このサイトと同じくらいクールで素晴らしいです!)。

5
jtimberman

このトピックを読むのはおかしいです。OpenIDでの私の経験を正確に反映しています。

StackOverflow.comは、私にとってOpenIDを取得する理由でした。
多くのGoogle検索でこのウェブサイトにアクセスし、コメントを残すことができませんでした。
何度も登録することを考えましたが、OpenIDのせいで登録しませんでした。それが正確に何であるかは私にはわかりませんでした。
ある日、登録を決意してしばらく時間がかかりましたが、毎日使っているので後悔はしていません。フィッシングされた場合に多くの問題が発生するのは1つのアカウントだけであることを認識していますが、より安全な感覚が得られます。

だから私にとって、OpenIDは私が知らないサイトだけでなくStackOverflow.comのようなより大きなウェブサイトにも素早くログインするための本当に素晴らしい方法です
主な問題は、新しいユーザーを登録プロセスにプッシュしてから、OpenIDが実際にどれほど優れているかを発見する必要があることです。

3
Daan

私は今日、OpenIDに熱心だった人から、OpenIDをスキップすることを非常に強く主張する記事に出くわしました。

Open IDは悪夢です

私は常にOpenIDの主要な支持者でした。私はそのアイデアと意図が大好きです。これは長年の問題に対する優れたソリューションであり、開発者にとって多くの問題を解決します。残念ながら、それは事業主にとってさらに多くのことを生み出します。

ここで残りを読んでください: http://www.wekeroad.com/2010/11/17/open-id-is-a-party-that-happened/

それは私の話ではないので、私はそれを信用していません。

3
Mark Ransom

OpenIDは、すべてのサイトで使用されている場合に適しています。しかし、1つのサイトを使用するためだけにOpenIDに登録するには、少し多すぎます。 OpenIDへの登録は、(消費者の観点から)サイトに直接登録するほど簡単ではありません。

3
luiscubal

通常の登録への追加としては良いですが、それがあなたのサイトにログインする唯一の方法である場合、それは非常に使いやすいものではありません。 stackoverflowの登録を見てください-すべてのサイトは、人々がこれが何であるかを理解するのを助けるために特別に言及されています。そして、このサイトはオタク向けです:)したがって、マイナスは複雑さです。

このリンク も参照してください

2
Malx

高レベルのセキュリティを必要とするサイトがある場合、ログイン資格情報の処理を外部プロバイダーに任せたくない場合は、アクセスを制御できません。 OpenIDプロバイダーがハッキングされた場合、セキュリティはプロバイダーに任されています。

1
MattBelanger

Stack Overflowを使用したことがある人が、OpenIdを使用しない理由を考えられなかったことに驚いています-それは地獄のように迷惑なので?!

Ted Dziubaは、私よりもはるかに優れた OpenIdにリッピング の仕事をしたので、彼が書いたものを読んでください。

もう1つの理由-- Facebook Connect すでに非常にうまくいっているようです。 Facebookのメンバーシップが増え続けるにつれて、FacebookConnectのサポートはさらに価値のあるものになります。

ある時点で、FacebookがConnectをOpenIdプロバイダーにすることができると思います...しかし、本当に、なぜ彼らはそうしたいのでしょうか?

0
bpapa

私の知る限り、OpenIDプロバイダーはアカウント所有者の電子メールアドレスを提供する必要はないようですが、提供する人もいます。

サービスがユーザーと通信するために電子メールアドレスを必要とする場合(たとえば、RSSを聞いたことがない多くの人が好むニュースレターを送信するため)、OpenIDをキャプチャして電子メールアドレスを確認する必要がある場合があります。

電子メールアドレスとパスワードだけが必要で、アクティベーション電子メールメッセージを使用するシステムは、ユーザーの作業が少なくなります。

0
Rich Apodaca

お持ちのOpenIDアカウントプロバイダー(google、yahoo、Twitterなど)の数は、OpenIDを利用したWebサイトへのログインに自動的に使用できるアカウントの数と同じです。これは確かに利点ではありませんが、大きな欠点になる可能性があります。

0
unpangloss

OpenIDを使用すると、どこでも同じであるため、あるサイトで行っていることを他のサイトで行っていることと誰でも接続できます。したがって、たとえばポルノサイトでここで使用しているのと同じIDは使用しません。

0
Bob

1つのアカウントですべてにアクセスできる理由はたくさんあります。これが危険にさらされると、問題が発生します。

openidを使用するページを設定する場合は、誰もが1つのopenidサーバーを設定できることを知っておく必要があります(スパマーもそれを行うことができます)。

-

しかし、openidには良いアイデアがあり、私はそれを使うのが好きです!

0
Bernd Ott