Programing

OpenID를 사용하지 않는 이유는 무엇입니까?

lottogame 2020. 12. 10. 08:25
반응형

OpenID를 사용하지 않는 이유는 무엇입니까?


OpenID에 대해 (어쨌든 Geek 커뮤니티에서) 상당히 많이 볼 수 있습니다. 좋은 생각 인 것 같습니다. 나는 다소 덜 괴상한 청중을 겨냥한 웹 사이트를 개발 중이다. (그러나 엄마와 팝도 아니다) 그래서 나는 OpenID가 몇몇 청중들에게 "너무 어렵게"될지 궁금하다.

어떻게 생각해? 그 외에도 OpenID를 사용하지 않는 다른 기술적 또는 비 기술적 이유가 있습니까?


일반 사용자는 여전히 OpenId가 ​​무엇인지, 무엇을위한 것인지, 어떻게 사용하는지 이해하지 못합니다. 예를 들어 부모님은 Stack Overflow에 로그인 할 수 없습니다.

즉, 이것은 주로 사용자 인터페이스에 관한 것입니다. 본질적으로 OpenId 사용을 방해하는 것은 없습니다. OpenId를 추상화하고 Google 계정으로 로그인 할 수 있도록하는 사용자 인터페이스 만 있으면됩니다 (예를 들어).


일반인이 OpenID를 이해하지 못한다고 말하는 것은 약간 부정확 할 수 있습니다.

대부분의 경우 약간의 설득력있는 마케팅 (예 : "모든 사이트에서 하나의 로그인 사용 !!! 11!)을 통해 여러 사용자 이름과 암호를 사용하는 대신 한 번의 로그인으로 사이트에 로그인 할 수 있다는 것을 이해할 수 있습니다. 다른 사이트.

그러나 문제는 일반 사용자에게 전체 OpenID 경험이 온라인 보안이라고 생각하는 것과 반대된다는 것입니다.

  • 사용자는 자동으로 신뢰하지 않습니다.

    일반 사용자 이름 / 비밀번호 로그인을 사용하면 사용자는 비밀번호가 비밀로 유지되어야한다는 것을 이해하고 사이트에 로그인 할 때 개인 정보를 보호합니다. OpenID 클라이언트 사이트와 OpenID 제공 업체간에 진행되는 교환을 어떻게 이해해야합니까? 그들이 아는 것은 암호를 입력 할 필요가 없다는 것뿐입니다 (OpenID 공급자에 "항상 로그인"되어 있다고 가정). 그래서 안전하지 않습니다. 맞습니까? 사용자의 입장에서 암호를 제공하지 않으면 어떻게 안전 할 수 있습니까? 이것은 사용자의 불신으로 이어질 수 있습니다.

  • 피싱을 쉽게 만듭니다.

    (많은) 사용자는 다른 계정에 대해 동일한 암호를 재사용하는 것이 잘못이라는 것을 알고 있지만 이것이 바로 OpenID가 수행하는 것처럼 보입니다. 사용자가 자신의 모든 OpenID 제공 업체가 수행하는 모든 작업이 참여하는 모든 사이트와 비밀번호를 공유한다고 가정하면 어떻게됩니까? 내 말은, OpenID가이 모든 사이트에서 어떻게 '그들을 위해 로그인'할 수 있습니까? 사용자가 OpenID를 통해 자신의 암호가 참여하는 모든 OpenID 사이트에 알려 졌다고 가정하면 해당 사이트 중 하나에이 암호를 제공하는 것이 합리적이라고 생각할 수 있습니다. 피싱 악몽입니다. 사이트에 "(일부 OpenID 제공 업체) 사용자 이름 [] 및 비밀번호 []를 입력하십시오."라는 문구를 넣는 것을 상상해보십시오. 당신은 이미 사람들을 피싱하고 있습니다.

    우리는 또한 약간 다른 이유로 사용자 의 의심 옳다사실을 잊지 말아야합니다 . 누군가 자신의 OpenID 공급자에 대한 액세스 권한을 얻으면 해당 사용자가 사용했던 모든 사이트에서 자신의 ID에 액세스 할 수 있습니다. 이는 여러 사이트에서 동일한 암호를 사용하는 것과 동일한 단점입니다.

  • 사용자가 이해하는 것과 너무 많이 벗어남

    다른 사이트에서 여러 사용자 이름 / 암호를 갖는 것은 사용자가 이해하기 어렵지 않습니다. 사용자는 사용자 이름과 암호가 익숙하기 때문에 사용자 이름과 암호의 개념을 잘 이해하고 있으며 보안 지점 (암호가 비밀이라는 사실)이 매우 분명합니다. 암호가 어떻게 작동하는지 정말 분명합니다. 여러 사용자 이름과 암호 조합을 사용한다고해서 더 이상 혼란 스럽거나 복잡해지지는 않습니다. 단지 똑같은 것이지만 둘 이상입니다. 여러 암호를 기억하는 것은 어려울 수 있지만 사용자는 적어도 암호 를 수행하는 방법과 작동 방식알고 있습니다.

    OpenID는 여러 암호를 기억하는 문제를 해결하려고하지만 그 과정에서 완전히 새로운 패러다임을 만들어 사용자에게 완전히 불투명합니다. 보안이 분명한 (비밀이어야 함) 암호와 달리 OpenID의 모든 보안은 서로 통신하는 사이트, 키 및 해시 등을 통해 보이지 않게 진행됩니다. 사용자는 더 이상 자신의 방법을 완전히 이해하지 못합니다. 그들은 시스템이 어떻게 작동하는지 이해하지 못하기 때문에 개인 정보가 보호되고 있거나 누구에게 비밀로 유지되어야합니다. 따라서 OpenID는 여러 암호를 기억하는 문제를 해결하기 위해 인증 작동 방식과 보안 이유에 대한 사용자의 전체 이해를 위반하는 신비한 키 교환 시스템을 만들었습니다.


OpenID는 피싱 시도에 매우 취약합니다. OpenID 사이트를 운영하는 경우에는 식별자 만 요청하고 사용자의 암호를 요청하기 위해 OpenID 공급자에게 리디렉션하는 일반적인 접근 방식 대신 하루에 로그인 페이지를 변경하여 식별자 암호를 요청하십시오. 이 방법으로 사용자 암호의 4 분의 1을 넘을 수있을 것입니다.


네 보안입니다. OpenId를 사용하면 자신의 계정을 관리 할 수 ​​있습니다. 암호 보안 및 사용자 ID를 제어 할 수 없습니다. 사이트를 방문하는 사람들이 자신이 말하는 사람인지 확인하기 위해 다른 조직을 신뢰하고 있습니다. 누군가가 자신이 말하는 사람인지 실제로 확인해야하는 경우. 일종의 2 차 검증을 직접하지 않고는 열린 ID로 얻을 수 없습니다. 이 경우 OpenId를 사용하지 않는 것이 좋습니다.

http://www.computerworld.com/s/article/9179224/Researchers_Password_crack_could_affect_millions


이것은 많이 나온다.

좋은 규칙 :

개인 식별 정보를 수집하고 보관해야하는 경우 OpenID를 사용하지 마십시오.

개인 식별 정보를 수집하고 유지할 필요가 없다면 로그인 방법으로 OpenID를 제공하십시오.

전자 상거래 또는 PCI / DSS 인증을 준수해야하는 다른 곳에서는 OpenID를 사용하지 않습니다.

나는 SO가 독점적으로 OpenID라는 것을 신경 쓰지 않지만 독점적으로 사용하는 사이트를 만들지는 않을 것입니다.


  1. 인터페이스가 끔찍합니다.

    ㅏ. OpenID에 등록하려면 더 많은 시간과 지식이 필요합니다. 일반 등록에는 시간이 거의 걸리지 않거나 정통합니다. 등록은 한 번만 이루어 지지만 초기 투자가 많으므로 사이트가 매우 매력적 이어야 합니다.

    비. 로그인에는 다음이 포함됩니다. 2 개가 아닌 3 개의 데이터; 하나가 아닌 두 개의 웹 페이지 (실제로는 StackOverflow에서 세 개) 및 외부 웹 사이트. 항상.

    씨. 이러한 종류의 솔루션을위한 더 나은 인터페이스가 있습니다. 예를 들어 KeePass를 사용합니다.

  2. 이름 충돌. 고유 한 이름을 보장 할 방법은 없습니다.

  3. 보안은 끔찍합니다.

    ㅏ. 피싱과 유사한 행동을 장려합니다. "Visa 인증"만큼 나쁘지는 않지만 가깝습니다.

    비. 단일 실패 지점 : 무언가 를 잃으면 모든 것을 잃게됩니다 . KeePass를 사용하면 적어도 물리적으로 암호를 보호 할 수 있습니다 (암호화 된 데이터베이스가있는 하드 드라이브가 있어야 함).

    씨. 교차 사이트 추적. 신용 카드 회사는 실제로 허용 된 추적 량을 관리하는 규칙이 있습니다. 쿠키는 최신 브라우저에서 선택적으로 비활성화하거나 차단할 수 있습니다. OpenID에는 규칙과 거버너가 없습니다.

  4. 실제로 보편적이지 않습니다. Google은 OpenID를 제공하지만 사용 하지는 않습니다 . Yahoo도 마찬가지입니다. 그리고 AOL. OpenID 공급자가 다른 공급자의 OpenID 사용을 허용하는 것에 대한 인센티브는 없습니다.

  5. OpenID는 인증에는 유용하지만 인증에는 유용하지 않습니다 . 특히 민감한 모든 것 (예 : 신용 카드)에는 적합 하지 않습니다 .

개인적으로 저는 사이트 당 하나의 로그인 / 암호를 사용하고 KeePass (물리적으로 보호 할 수 있고 크래킹해야하는 두 개의 암호 레이어로 보호 할 수 있음)를 사용하여 모든 곳에서 로그인 할 수있는 추상화를 유지합니다.

여기에는 StackOverflow가 포함됩니다. 특별히 여러분을 위해 OpenID를 만들었으며 다른 곳에서는 사용하지 않을 것입니다. 이 작업을 수행했고 콘텐츠가 매력적이기 때문에 로그인 문제를 참았습니다 .

그러나 StackOverflow에 대해 실제 인증 방법이 제공된 경우 사용 편의성을 위해 심장 박동으로 뛰어 들었습니다.


OpenID is still as insecure as every other password-based authentication method out there. In fact, it is even worse because if someone gets access to your OpenID, they have more than just that one account now. Of course there's also phishing attacks, but we're all savvy programmers, database and system administrators, so we wouldn't fall for such things, right?

인증 보안은 신뢰를 기반으로합니다. 다른 사람들이 지적했듯이 잠재적으로 민감한 정보에 대해 제 3자를 신뢰하는 이유는 무엇입니까? 물론 OpenID 서버를 직접 설정할 수 있지만 여러 시스템에서 별도의 암호를 유지하는 것보다 얼마나 번거 롭습니까? 물론, 길고 영숫자가 아닌 문자로 가득 찬 안전한 비밀번호를 생성 할 수 있으며 비밀번호 관리자에 모두 저장할 수도 있지만 (I do) 일부 사이트는 간단한 비밀번호 복구 양식을 작성하여 얻을 수 있다는 결함이 있습니다. 비밀번호를 재설정 할 수 있습니다.

보안 개인 키 기반 인증, la SSH 또는 PGP를 수행했다면 OpenID를 지원하고 전파하려는 경향이있을 것입니다. 아마도 그것은 그러한 방법을 제공하는 제공 업체의 문제 일 수 있습니다. [아직] 조사하지 않았습니다.

Finally, while we all trust OpenID enough to use it to authenticate on Stack Overflow, my OpenID is a "throwaway", and its not like I'm using this as a professional reputation building tool (ie, my real name isn't involved ;-)). I'm sure I'm not the only one (as cool and awesome as this site is!).


OpenID is good if all sites use it. But to register to OpenID just to use ONE site, it's a bit too much. Registering to OpenID is not as straightforward as directly registering in a site(from a consumer point of view).


It's funny for me to read this topic, it reflects exactly my experience with OpenID:

StackOverflow.com was for me the reason to get an OpenID.
Many Google searches led me to this website, and I were never able to leave comments.
I thought about registering many times, but I didn't because of OpenID. It was not clear to me what it was exactly.
But one day, I took the decision to register and it took me a while, but I don't regret it because I use it every day. It gives me a more secure feeling although I'm aware that it's only one account which would lead to many problems if it gets phished.

So for me, OpenID is a really nice way to quickly login on sites I don't know, but also on bigger websites such as StackOverflow.com
The main problem is that new users need to be pushed into the registration process then discover how great OpenID actually is.


I ran across an article today that makes a very strong case for skipping OpenID, from someone who was originally enthusiastic about it.

Open ID Is A Nightmare

I've always been a major proponent of Open ID. I love the idea and the intention - it's a great solution to a long-standing problem and solves a lot of issues for developers. Unfortunately it creates a ton more for business owners.

Read the rest here: http://www.wekeroad.com/2010/11/17/open-id-is-a-party-that-happened/

It's not my story so I'm not taking any credit for it.


It is good as an addition to normal registration, but is not very easy to use if it is the only way to log into your site. Look at registration on stackoverflow - all sites are specially mentioned to help people understand what is this all about. And this site is for geeks :) So the minus is complexity.

Also see this link


If you have a site which requires a high level of security, you do not want to leave handling of your login credentials to an outside provider, where you have no control over access. If the OpenID provider gets hacked, you're leaving your security up to them.


Everyone can connect the things I do on one site to the things I do on other sites when using an OpenID, because it's the same everywhere. So I wouldn't use the same ID I use here for a porn site, for example.


there are a lot of reasons thats one account which makes access to all. if this is compromised you get in trouble.

if you are setting up a page which uses openid, then you should know everybody can setup a one openid server (also spammers can do that).

--

but openid has good ideas and i like to use it!


I'm surprised that somebody that has used Stack Overflow couldn't think of a reason to NOT use OpenId - because it's annoying as hell?!

Ted Dziuba did a much better job of ripping into OpenId than I would, so just read what he wrote.

Another good reason - Facebook Connect already seems to be doing very well. As Facebook's membership continues to grow, it's going to make Facebook Connect support that much more valuable.

At some point I suppose Facebook could make Connect an OpenId provider... but really, why would they want to?


From what I can tell, it looks like an OpenID provider is not required to give out an account holder's email address, although some do.

If your service requires an email address to communicate with its users (for example, to send out a newsletter - which the many people who have never heard of RSS prefer), then you may have to capture an OpenID AND verify an email address.

A system in which just an email address and password are required and which employs an activation email message would be less work for users.


The number of OpenID account provider you have (google, yahoo, twitter, etc...) equals the number of accounts you can automatically use to login to an OpenID powered website. This is certainly not an advantage but it can be a big disadvantage.

참고URL : https://stackoverflow.com/questions/410085/what-reasons-are-there-not-to-use-openid

반응형