2009-03-30 5 views
8

이 사이트는 처음이지만 규칙을 읽고 질문 섹션을 검색했지만 관련 질문에 대해서는 잘 답변하지 않았습니다. 어쨌든
질문 : what 's Pros. & 단점. 일반 로그인 시스템 대신 웹 사이트에서 OpenID를 사용 하시겠습니까? 고객이 지역 판매 시스템에 대해 이러한 종류의 로그인을 사용하기를 원합니다. & 나는 이유가 없습니다! 사전에 감사합니다. OpenID를 사용 하시겠습니까? 사용하지 않으려면 어떻게해야합니까?

답변

18

OpenId는 Stackoverflow에 의해 구현됩니다. 방금 등록한 이래로 당신은 스스로 혜택을 경험했을 것입니다.

기본적으로 사용자가 계정을 만들거나 자신의 개인 정보를 보내지 않고도 웹 사이트에 로그인 할 수 있습니다. 귀하의 사이트가 지원하는 OpenId 제공 업체 (예 : Google)에 계정이있는 한, 그들은 단순히 Google 사용자 이름과 비밀번호를 사용하여 귀하의 사이트를 통해 로그인 할 수 있습니다. 이를 통해 고객 유지율을 높이고 사용자가 자신의 암호를 잊어 버릴 가능성을 줄일 수 있습니다. 여기

는 자신의 애플리케이션에 오픈 ID의 장점을 설명 37signals.com하여 개요입니다 http://www.37signals.com/openid/

물론 당신은 제비에 대한 자세한 내용은 찾을 수 있습니다 내가 가지고 올 수 없습니다 http://openid.net/

+0

google 및 yahoo 사용자가 여러 계정을 가질 수 있으므로이 쉬운 로그인 시스템을 사용하여 시스템을 홍수시키는 것이 좋습니다. hm? 정기적 인 등록 절차를 사용하면 그렇게 할 수 없습니다. 조지, 정말 좋은 기사였습니다. –

+0

@Stephanie, 사이트 작성시 고급 보안 문자를 사용하는 Google에 비해 사이트의 자동화 된 계정 생성이 쉬울 것이므로이 시나리오는 걱정하지 않아도됩니다. 장기적으로 OpenID는 스패머에게 유리한 목표가 될 것입니다. – aleemb

+0

그래서 OpenID 규칙, 응? 답 답장 a 감사합니다. 또한 CAPTCHA를 사용하고 있으며 사용자의 모든 의심스러운 동작을 기록합니다. 안돼! –

10

을 어떤 이유로 든 이 아니고 이것을 사용하는 것은이지만 고려해야 할 몇 가지 사항이 있습니다.

주로 사용자 인식이 부족하기 때문에 OpenID를 대체 메커니즘으로 제안하는 것이 좋습니다. 많은 개발자들이 익숙하지 않으므로 사용자는 분명히 없을 것이며 가입/로그인 페이지에서 OpenID를보고 자신의 Google 또는 Yahoo 로그인/비밀번호를 요청할 때 혼란을 겪을 것입니다 (OpenID 란 무엇입니까? 토스터 구입과 관련이 있나요?). 결과적으로 Google 또는 다른 사이트로 이동하여 귀하의 사이트가 자신의 로그인 데이터에 액세스 할 수 있도록하여 혼란을 야기 할 수 있음을 확인합니다 (이 사람들은 내 Gmail에 액세스 할 수 있습니까?). 보안상의 관점에서 볼 때, 귀하의 사이트는 내 Google 로그인 데이터를 저장할 수 있으며 신뢰 문제로 인해 로그인 또는 구매를 포기할 수 있습니다.

사이트의 전면 및 openID에 로그인/패스워드 시스템을 설치하는 것이 사이트의 특성에 따라 권장 될 수 있습니다.

+0

좋은 메모, 고마워;) –

3

techies의 OpenID 이점은 꽤 분명하지만 정기적 인 사용자는 한 사이트 로그인을 사용하여 다른 사이트에 로그온하는 아이디어를 파악하기가 어려울 때가 있습니다. 그들은 단순히 사용하기 시작한 사이트의 계정을 만드는 데 익숙합니다.

주요 문제는 사용자가 OpenID가 무엇인지 완전히 인식하지 못했다는 점이었습니다. 유용성 연구를 통해 OpenID 로그온이 야후, GMail 또는 MS Passport와 같은 계정의 자격 증명을 제공 할 수있는 가능성으로 승격 됨으로써 해결되었습니다. 운영자는 최근 OpenID 제공 업체가 되었기 때문입니다. 야후 said처럼 "기술이 아니라 유틸리티를 홍보하십시오."

물론 다른 계정과 기억할 암호 (또는 다른 post-it을 넣어야 함)가 없어야한다는 점을 강조하는 것이 중요합니다. 소비 사이트에는 다른 계정이 없습니다. 공급자의 자격 증명 데이터를 저장하는 방법 그것은 그들이 확신하도록하기에 충분해야합니다.

그러나 openid 로그온을 제공하는 사이트의 성격이 다양하기 때문에 내 은행 계좌로 로그온하는 것을 꺼리게됩니다.

1

openID는 사용자가 알지 못하기 때문에 피싱 (phishing)에 더 취약 할 수 있음을 알아야합니다. 악의적 인 사이트가 openID를 구현하는 것처럼 보이지만 로그인 시도를 제어하에있는 악의적 인 사이트 (예 : Google 로그인)로 전송하면 모든 오픈 아이디 사이트에서 피싱 된 사용자의 계정에 액세스 할 수 있습니다. 따라서 openID를 사용하면 봇이나 악의적 인 사용자가 더 높은 가능성이있을 수 있습니다.

실제로 이것이 어떻게 작동하고 그것이 유효한 보안 문제가되는지는 누구나 짐작할 수 있습니다. 세부 사항을 모르더라도이 공격을 시도하고 완화하기 위해 openID 표준에 몇 가지 제안 된 변경 사항이 있다고 생각합니다.

2

이유는 NOT OpenID를 사용하는 것은 보안입니다.

사용자가 타사 OpenID 공급자 (Google, Yahoo 등)를 사용하는 경우 에 액세스 한 제공자의 악의적 인 직원이에 로그인 정보를 얻고 사용자의 계정을 이용할 수 있습니다.

클라이언트의 중요한 서비스를 관리하기위한 사내 애플리케이션을 설계 할 때이 시나리오가 발생했습니다. 사용자가 이미 외부 서비스에 익숙했기 때문에 OpenID는 매우 매력적이었습니다 (모든 사용자는 Gmail 또는 yahoo 계정을 가지고 있습니다). 단점은 악용으로 수십만 달러의 수익 손실이 발생할 수 있다는 것입니다.

해결책은 사용자에게 투명하고 OpenID 공급자가 이해할 수없는 추가적인 보안 계층을 구현하는 것이 었습니다. 응용 프로그램의 로그인 화면은 회사 네트워크 내에서만 액세스 할 수있었습니다.

관련 문제