Para usar OpenID o no usar?

Question

Soy nuevo en este sitio, pero he leído las reglas y también busqué en la sección de preguntas, pero no encontré ninguna pregunta relacionada bien respondida.
de todos modos, la pregunta: ¿cuáles son los profesionales. & Cons. de usar OpenID en un sitio web en lugar de un sistema de inicio de sesión normal? Mi cliente quiere que use este tipo de inicios de sesión para un sistema de venta local & No tengo ni idea, ¿por qué? gracias de antemano.

Answer 1

OpenId es implementado por Stackoverflow. Como acaba de registrarse, es posible que haya experimentado los beneficios usted mismo.

Básicamente, se puede utilizar para permitir a los usuarios iniciar sesión en el sitio web sin crear una cuenta o enviarle información personal. Siempre que tengan una cuenta con un proveedor de OpenId compatible con su sitio (Google, por ejemplo), simplemente pueden usar su nombre de usuario y contraseña de Google para iniciar sesión en su sitio. Esto puede aumentar la retención de clientes y reduce la probabilidad de que los usuarios se vayan por olvidar su contraseña.

He aquí un resumen de 37signals.com que explica los beneficios de OpenID para sus aplicaciones: http://www.37signals.com/openid/

Y, por supuesto, se puede encontrar mucha más información en: http://openid.net/

Answer 2

no puedo llegar a cualquier motivo no para usarlo, pero hay algunas cosas que debe tener en cuenta.

Sugeriría ofrecer OpenID como un mecanismo alternativo principalmente debido a la falta de conocimiento del usuario. Muchos desarrolladores no están familiarizados con él, por lo que los usuarios seguramente no lo estarán y los confundirá cuando vean OpenID en la página de registro/inicio de sesión solicitando su nombre de usuario o contraseña de Google o Yahoo (¿Qué es OpenID? que ver con la compra de una tostadora?). En consecuencia, serán llevados a Google u otro sitio para confirmar que desean permitir que su sitio acceda a sus datos de inicio de sesión, lo que puede confundirlos aún más (¿estas personas tienen acceso a mi gmail?). Desde el punto de vista de la seguridad, por lo que sé, su sitio podría almacenar mis datos de inicio de sesión de Google y podría abandonar el inicio de sesión o la compra debido a problemas de confianza.

Por lo tanto, poner un sistema de inicio de sesión/contraseña en el frente y openID en el lateral puede ser aconsejable dependiendo de la naturaleza del sitio.

Answer 3

Aunque para nosotros, los expertos en tecnología, los beneficios de OpenID son bastante obvios, a los usuarios habituales a veces les cuesta captar la idea de utilizar el inicio de sesión de un sitio para iniciar sesión en otro sitio. Simplemente están acostumbrados a crear una cuenta para el sitio que están empezando a usar.

El problema principal era que los usuarios no sabían completamente, qué OpenID era. Con la ayuda de estudios de usabilidad, se solucionó promocionando el inicio de sesión de OpenID como una posibilidad de proporcionar credenciales de la cuenta que ya tienen, como Yahoo, GMail o MS Passport one, ya que sus operadores se han convertido recientemente en proveedores de OpenID. Como Yahoo said, "Promueva la utilidad, no la tecnología".

Y, por supuesto, es importante destacar que no es necesario que tengan otra cuenta y otra contraseña para recordar (o poner otra publicación más;)) y que el sitio consumidor no tiene ninguna forma de almacenar los datos de credenciales del proveedor. Eso debería ser suficiente para convencerlos.

Pero debido a la naturaleza variable de los sitios que proporcionan el inicio de sesión abierto, me resistiría a iniciar sesión con él en mi cuenta bancaria.

Answer 4

Debe tener en cuenta que openID puede ser más vulnerable al phishing porque los usuarios saben menos sobre él. Si un sitio malicioso pretende implementar openID, pero reenvía el intento de inicio de sesión a un sitio malicioso bajo su control (por ejemplo, imitando un inicio de sesión de Google), puede obtener acceso a la cuenta de ese usuario infectado en todos los sitios de openID. Entonces, si usa openID, puede haber una mayor probabilidad de bots y usuarios maliciosos, o tal vez no.

Cómo se resolverá esto en la práctica y si se convertirá en un problema de seguridad válido es algo que nadie sabe. Creo que también hay algunos cambios propuestos al estándar openID para intentar mitigar estos ataques, aunque no conozco los detalles.

Answer 5

Un motivo NOT para utilizar OpenID es la seguridad.

Si un usuario utiliza un tercero proveedor de OpenID (Google, Yahoo, etc), entonces un empleado malicioso del proveedor que tenía acceso podría obtener la información de inicio de sesión y explotar la cuenta del usuario.

Me encontré con este escenario al diseñar una aplicación interna para administrar un servicio vital para un cliente. OpenID era muy atractivo ya que los usuarios ya estaban familiarizados con los servicios externos (parece que todos tienen una cuenta de gmail o yahoo). La desventaja es que cualquier exploit podría haber generado cientos de miles de dólares de ingresos perdidos.

La solución fue implementar una capa adicional de seguridad que era transparente para el usuario e inexplotable por el proveedor de OpenID: la pantalla de inicio de sesión de la aplicación solo se podía acceder desde la red de la compañía.