Comments 91
OpenID иной раз проблемнее с точки зрения пользователя — не всегда помнишь пароль от какого-либо другого OpenID-сервиса, приходится мучительно вспоминать.
Другого OpenID-сервиса? O_o У большинства только один OpenID на все поддерживающие сайты.
UFO just landed and posted this here
Я использую везде, где можно, только один OpenID, от GMail.
Можно поподробнее?
Гугление продолжается, но пока ничего удобного…
Гугление продолжается, но пока ничего удобного…
Кхм… я использую
https://www.google.com/accounts/o8/id
дополнительно также доступен
openid-provider.appspot.com/
https://www.google.com/accounts/o8/id
дополнительно также доступен
openid-provider.appspot.com/
А еще можно предположить сценарий, когда пользователь не хочет, чтоб была связь между логинами разных сервисов, т.е. чтоб было больше приватности
В таком случае он заведёт себе отдельный OpenID или даже воспользуется анонимными одноразовыми OpenID.
Пусть на другой сайт идёт. Каждый проект сам выбирает, какой уровень приватности предоставить.
Думаю, такой пользователь не забудет все пароли от всех openID аккаунтов
Смотря на каком сервисе, пользователи многих сервисов даже не подозревают что такое OpenID.
UFO just landed and posted this here
Честно говоря вы правы, не задумался об этом. Я больше надеялся на аргументацию в комментариях нежели на результаты в голосовании… однако из 100 проголосовавших на данных момент отписались только 4-5 человека.
Но у OpenID-сервиса защита обычно лучше. И правильные сертификаты (в итоге защита от фишинга, так как другой вид URL-строки привлечёт внимание) и шифрация трафика.
Сомнительная аргументация, по-моему…
Если кому-то нужен ваш аккаунт, то нужен аккаунт на конкретном сайте, зачем ему все? 0_о
Таким образом, не имеет значения, OpenID у вас или нет, что будет, то и сломают, если сильно захотят.
Если кому-то нужен ваш аккаунт, то нужен аккаунт на конкретном сайте, зачем ему все? 0_о
Таким образом, не имеет значения, OpenID у вас или нет, что будет, то и сломают, если сильно захотят.
украдут один емейл — украдут все аккаунты на сервисах, которые на него регистрировались
нет, правда, вы подставляйте емейл на место openid перед тем, как писать «аргументацию», многие аргументы отпадут сами собой: )
нет, правда, вы подставляйте емейл на место openid перед тем, как писать «аргументацию», многие аргументы отпадут сами собой: )
Один мегапароль запомнить проще, чем 20 =)
Можно попробовать способ который я видел на одном сайте. Помойму на peeron.com, но не уверен. Там openid используется для заполнения полей нативной регистрации. ^_^
За OpenID и подобными технологиями, возможно, будущее, но альтернативный(классический) способ регистрации пока рано отменять. У пользователя должен быть выбор. Хотя если сайт специфичный(исключительно для ITшников) то можно обойтись и без классической регистрации.
UFO just landed and posted this here
Пользователя регистрацией не удивишь, а сайту не лишне будет иметь почту человека, чтобы иногда ненавязчиво (если пользователь не отказался от получения информации о обновлениях) напоминать что есть такой вот сайт и он все лучше и лучше.
Можно пытаться получить почту через OpenId, но кто ж вам добровольно ее даст. Делать вход по OpenId а потом просить ввести недостающую информацию и почту — редкое извращение, как по мне.
Потому сайту выгоднее регистрация.
Подразумевается простая регистрация типа мыло-пароль-пароль или логин-мыло-пароль-пароль-капча как предел сложности.
Можно пытаться получить почту через OpenId, но кто ж вам добровольно ее даст. Делать вход по OpenId а потом просить ввести недостающую информацию и почту — редкое извращение, как по мне.
Потому сайту выгоднее регистрация.
Подразумевается простая регистрация типа мыло-пароль-пароль или логин-мыло-пароль-пароль-капча как предел сложности.
При логине с помощью OpenID можно запросить у сервиса и почту и имя человека. Даже аватарку (но её пока никто из OpenID-сервисов не поддерживает).
Второй пароль не нужен. Если он ошибся при вводе пароля на регистрации, то может воспользоваться восстановлением пароля.
а он будет знать что ошибся? кто ему об этом скажет если пароль закрыт звездочками? пользователь пытается ввести свой пароль, а система говорит что пароль неправильный. в результате пользователь идет лесом, т.к. мне например былобы влом регистрироваться еще раз или восстанавливать только что зарегистрированный пароль
Если вообще упростить — то при регистрации запрашивать только логин/мыло, а пароль генерировать и высылать на это мыло. Но удобнее ли это пользователю?
Генерировать пароль можно на «одноразовых» сервисах. Иначе пользователю нужно после того как он зашел по сгенерированному паролю идти в профиль и менять пароль на тот, который он в состоянии запомнить. А это уже усложнение а не упрощение.
Возможно, не только для «одноразовых», но и для стартапов, которые ещё только собирают аудиторию. Им приходится заботиться о каждой мелочи, лишь бы не отпугнуть пользователя от регистрации. Если пользователь зарегился и зашёл на сайт — уже хорошо, можно ему теперь ненавязчиво подсказать о том, что пароль неплохо бы сменить.
Я согласен, тут спорно, но, например, Facebook делает именно так.
Но когда сайт заполучит почту человека, то сайту почему-то не удаётся избежать соблазна устроить неотключаемую (!) возможность напоминания пароля на этот адрес.
А в этом случае вышеизложенное возражение против OpenID («похитят одну учётную запись — похитят их все») начинает выглядеть лицемерно, так как их всё равно все похитят, едва хряпнут почтовый ящик пользователя.
Конечно, предусмотрительные пользователи имеют не менее тридцати различных почтовых ящиков на различных почтовых серверов. Но много ли таких предусмотрительных?
А в этом случае вышеизложенное возражение против OpenID («похитят одну учётную запись — похитят их все») начинает выглядеть лицемерно, так как их всё равно все похитят, едва хряпнут почтовый ящик пользователя.
Конечно, предусмотрительные пользователи имеют не менее тридцати различных почтовых ящиков на различных почтовых серверов. Но много ли таких предусмотрительных?
Это не предусмотрительность — это болезнь))
Восстановление пароля штука полезная. Потому как сам свежепридуманные пароли иногда забываю, пока не осядут в мозгу.
Для пользователей, не желающих, чтобы их аккаунт был получен при взломе их почты — сайт всегда может ввести опциональные дополнительные средства защиты. Например, секретный вопрос или привязка к телефону. Дорожит пользователь аккаунтом — заполнит вопрос. Если он случайно зарегался на сервисе — могут угнать вместе с почтовым ящиком.
Для пользователей, не желающих, чтобы их аккаунт был получен при взломе их почты — сайт всегда может ввести опциональные дополнительные средства защиты. Например, секретный вопрос или привязка к телефону. Дорожит пользователь аккаунтом — заполнит вопрос. Если он случайно зарегался на сервисе — могут угнать вместе с почтовым ящиком.
Делать вход по OpenId а потом просить ввести недостающую информацию и почту — редкое извращение, как по мне.
А по мне так хорошо — 140 одноразовых паролей от разных сайтов в голове плохо умещаются.
Я считаю, что OpenID на сервисе с широкой аудиторией — бред. Да и вообще, по большей части бред:).
Вобще, основное использование OpenID сейчас — это «по быстрому заценить еще один бесполезный стартап», чтобы не мучаться с регистрацией. В таком случае, лучше вводить юзера demo/demo.
На сервисах, которыми мы пользуемся постоянно, у нас у всех нативные аккаунты, логины/пароли от которых мы прекрасно помним. Кстати, у большинства, на всех аккаунтах одинаковые ники/пароли, ну или набор из двух-трех разных.
Обычный же пользователь, зайдя на ссервис с OpenID, привычно будет искать обычную форму регистрации, но не найдет. Ему придеться(если нет аккаунта в жж, в рунете это похоже единственный провайдер) идти искать провайдера, и регистрироваться там. Провайдер скорее всего иностранный, пользователь не факт что знает английский, да и вобще слабо понимает, счевой то его куда-то посылают. В итоге, в большенстве случаев сервис просто теряет пользователя.
Решением тут может стать то, что сервис сам будет являться провайдером OpenID(как жж), но по сути, тогда теряется вся идеология этого дела.
И вобще, почему OpenID, а не OAuth например?:)
Вобще, основное использование OpenID сейчас — это «по быстрому заценить еще один бесполезный стартап», чтобы не мучаться с регистрацией. В таком случае, лучше вводить юзера demo/demo.
На сервисах, которыми мы пользуемся постоянно, у нас у всех нативные аккаунты, логины/пароли от которых мы прекрасно помним. Кстати, у большинства, на всех аккаунтах одинаковые ники/пароли, ну или набор из двух-трех разных.
Обычный же пользователь, зайдя на ссервис с OpenID, привычно будет искать обычную форму регистрации, но не найдет. Ему придеться(если нет аккаунта в жж, в рунете это похоже единственный провайдер) идти искать провайдера, и регистрироваться там. Провайдер скорее всего иностранный, пользователь не факт что знает английский, да и вобще слабо понимает, счевой то его куда-то посылают. В итоге, в большенстве случаев сервис просто теряет пользователя.
Решением тут может стать то, что сервис сам будет являться провайдером OpenID(как жж), но по сути, тогда теряется вся идеология этого дела.
И вобще, почему OpenID, а не OAuth например?:)
Посмотрел, есть и российские провайдеры isopenid.ru и oneid.ru. Но это все равно ничего кардинально не меняет:)
Крупнейшим провайдером OpenID я бы назвал, скорее, Яндекс.
OAuth не конкурирует с OpenID — это разные технологии. Даже OAuth совместим и сделан в духе OpenID.
Есть российские OpenID-сервисы и у многих они уже есть — ЖЖ и Яндекс. А при вводе OpenID всегда вешают форму, где можно вводить не OpenID-адрес, а просто ник ЖЖ.
UFO just landed and posted this here
Я за openid! Т.к. надоедает регистрироваться в многочисленных «сервисах», только для того чтобы что-то увидеть/почитать.
Нативная регистрация, имхо, нужна только для почты.
Нативная регистрация, имхо, нужна только для почты.
Я бы сделал только OpenID для простоты кода. Но всё равно сделал бы кнопку Регистрация, которая выдаёт пользователю OpenID без лишних вопросов и т. д. У MyOpenID.com есть такой партнёрский сервис.
Нужно и то, и другое, и еще, по-возможности, третье — пользоваться сервисом без регистрации.
А что это OpenID? А он мне нужен? Смогу ли я ходить на форумы без него? :)
p.s. Меня устраивает связка логин/пароль
p.s. Меня устраивает связка логин/пароль
Я считаю что регистрация на сайтах не нужна вообще. Каждый из нас уже зарегистрирован в каком либо почтовом сервисе и это так сказать наследие времен зарождения интернета.
Почта есть у всех и она же является альтернативным логином и паролем для 99.9% сервисов.
Вспомним как было на заре сайтостроения?
логин+пароль=вход и восстановление пароля: логин+кодовое слово=пароль=вход
Немного позже появилась следующая схема:
логин+пароль=вход и восстановление пароля: email+логин=пароль=вход
Теперь все большую популярность набирает вход вида:
email+пароль=вход и восстановление пароля: email=пароль=вход
Следующий очевидный шаг (думаю он завоюет рынок через 2-3 года)
email=вход и восстановление доступа к почте при потере к ней доступа по мобильному телефону
И немного заглянем в будущее:
Тот же самый вход по email, но с одноразовым паролем который пересылается на мобильный телефон.
Мне кажется, что именно email становится и в конце концов станет тем самым единым логином для входа на любой сайт, который нам предлагает openid.
Почта есть у всех и она же является альтернативным логином и паролем для 99.9% сервисов.
Вспомним как было на заре сайтостроения?
логин+пароль=вход и восстановление пароля: логин+кодовое слово=пароль=вход
Немного позже появилась следующая схема:
логин+пароль=вход и восстановление пароля: email+логин=пароль=вход
Теперь все большую популярность набирает вход вида:
email+пароль=вход и восстановление пароля: email=пароль=вход
Следующий очевидный шаг (думаю он завоюет рынок через 2-3 года)
email=вход и восстановление доступа к почте при потере к ней доступа по мобильному телефону
И немного заглянем в будущее:
Тот же самый вход по email, но с одноразовым паролем который пересылается на мобильный телефон.
Мне кажется, что именно email становится и в конце концов станет тем самым единым логином для входа на любой сайт, который нам предлагает openid.
>Следующий очевидный шаг (думаю он завоюет рынок через 2-3 года)
email=вход и восстановление доступа к почте при потере к ней доступа по мобильному телефону
Не совсем понимаю, как это может происходить. Т.е., введя адрес любого зарегистрированного на сайте, можно попасть в чужой аккаунт?
email=вход и восстановление доступа к почте при потере к ней доступа по мобильному телефону
Не совсем понимаю, как это может происходить. Т.е., введя адрес любого зарегистрированного на сайте, можно попасть в чужой аккаунт?
Не, ну разве это удобно — ввёл почту, потом проверил мобильник, ввёл одноразовый пароль? Как минимум две дырки: (1) сайт вынужден рассылать смс, а это денег стоит; (2) я обязан иметь всегда при себе включённый телефон, что не всегда возможно.
Во первых — авторизация должна сохраняться до явного указания на выход из сайта.
Во вторых — по моему ввести 3-4 цифры одноразового пароля из смс — несложно, а если телефон выключен, то копия пароля — на почте.
А авторизация по смс это кстати еще и избавление от надоедливой капчи.
Но конечно пока это все домыслы и время покажет как будет на самом деле.
Во вторых — по моему ввести 3-4 цифры одноразового пароля из смс — несложно, а если телефон выключен, то копия пароля — на почте.
А авторизация по смс это кстати еще и избавление от надоедливой капчи.
Но конечно пока это все домыслы и время покажет как будет на самом деле.
А почему варианты из заголовка не пересекаются с вариантами опроса? Я бы хотел проголосовать за второй вариант из заголовка.
«OpenID как брелок для ключей: очень удобно носить, а также разом потерять их все»
А вот капчу надо при авторизации по сабжу показовать ;)
OpenID это замечательно, а вот если бы у нас был распрастранен facebook или google со своей авторизацией было бы хорошо. Имхо в России, хорошо было бы если подобную штуку сделали В контакте.
На мой взгляд Open ID класная штука, ее стоит использывать. Только надо с самого начала ник нормальный сделать))
мне не нравится OPen ID — неудобно мне
но пользователей нельзя лишать этого сервиса
но пользователей нельзя лишать этого сервиса
Мне OpenID не очень нравится, авторизация довольно долго происходит, быстрее зачастую зарегистрироваться. Но тут возникает проблема в виде пароля. Придумывать новый плохо, забудешь. Можно использовать специальную программу для хранения паролей, но она должна быть установлена и запущена, с программой еще проблемы в синхронизации данных между различными компьютерами. Использовать один и тот же пароль везде можно, но это еще хуже, рискуешь получить неприятности через шалости админа одного из сайтов, где регистрировался.
Я для себя нашел выход из ситуации, написал Greasemonkey скрипт, который формирует пароль на основе доменного имени сайта и моего мастер-пароля. Это происходит так — я дважды кликаю по полю ввода пароля, и в него автоматически заносится сформированный пароль, заодно сделал такое же автозаполнение логина/email (даблклик — логин, даблклик — email). В итоге регистрируюсь где ни попадя, не боясь что скомпромитирую свой мастер пароль. К тому же все системы регистрации оценивают получившийся пароль как стойкий. Если же я буду находиться на компьютере, где нет моего скрипта, то я могу зайти на свой сайт, где введу доменное имя, свой мастер пароль, и получу сгенерированный пароль, который через буфер обмена пойдет в поле ввода пароля.
Получилось даже быстрее чем авторизоваться через OpenID, нужно лишь даблкликнуть по полю логина, дважды даблкликнуть по полю email, и еще по полю пароля (повтор ввода пароля заполняется автоматически), иногда еще просят ввести настоящее имя, ну это не сложно. Так что фактически можно зарегистрироваться вообще не прикасаясь к клавиатуре :)
Я для себя нашел выход из ситуации, написал Greasemonkey скрипт, который формирует пароль на основе доменного имени сайта и моего мастер-пароля. Это происходит так — я дважды кликаю по полю ввода пароля, и в него автоматически заносится сформированный пароль, заодно сделал такое же автозаполнение логина/email (даблклик — логин, даблклик — email). В итоге регистрируюсь где ни попадя, не боясь что скомпромитирую свой мастер пароль. К тому же все системы регистрации оценивают получившийся пароль как стойкий. Если же я буду находиться на компьютере, где нет моего скрипта, то я могу зайти на свой сайт, где введу доменное имя, свой мастер пароль, и получу сгенерированный пароль, который через буфер обмена пойдет в поле ввода пароля.
Получилось даже быстрее чем авторизоваться через OpenID, нужно лишь даблкликнуть по полю логина, дважды даблкликнуть по полю email, и еще по полю пароля (повтор ввода пароля заполняется автоматически), иногда еще просят ввести настоящее имя, ну это не сложно. Так что фактически можно зарегистрироваться вообще не прикасаясь к клавиатуре :)
У меня все тоже самое для всяких тупых форумов, только без скриптов.
А в важных местах: аська, джаббер, почта… разные специальные пароли. Благо запомнить 10 паролей не так сложно.
ОпенИД может и просто, может и удобно, но лично мне это без надобности.
А в важных местах: аська, джаббер, почта… разные специальные пароли. Благо запомнить 10 паролей не так сложно.
ОпенИД может и просто, может и удобно, но лично мне это без надобности.
Оригинально, но не надёжно всё это. Получается такой же «один пароль на все сайты». Ваш враг так же найдёт ваш сайт с генератором. А потом ему нужно лишь украсть мастер пароль ;).
Так на сайте с генератором нет мастер пароля, я его должен вводить в поле.
Там даже нет отправки данных на сервер, генерация пароля происходит в браузере, т.е. даже при перехвате трафика не выловишь мастер пароль.
К тому же я не пользуюсь этой системой для важных сайтов, таких где есть управление деньгами, хостингом и т.п. Поэтому если кто и украдет мой мастер пароль и алгоритм формирования паролей, то он только может попортить мою репутацию, написав от моего имени на различных сайтах сообщения, что никому естественно и даром не нужно :)
Там даже нет отправки данных на сервер, генерация пароля происходит в браузере, т.е. даже при перехвате трафика не выловишь мастер пароль.
К тому же я не пользуюсь этой системой для важных сайтов, таких где есть управление деньгами, хостингом и т.п. Поэтому если кто и украдет мой мастер пароль и алгоритм формирования паролей, то он только может попортить мою репутацию, написав от моего имени на различных сайтах сообщения, что никому естественно и даром не нужно :)
Идея ваша не уникальна, я ею пользуюсь в реализации passwordmaker.org
Опрос на форуме клуба владельцев мерседеса:
Что бы вы купили мерседес или бмв?
1. Мерседес
2. Круто и то и то иметь
3. А мне пофиг у меня жигули
4. БМВ
Как вы думаете какой из этих вариантов ответа выберут участники клуба мерседес?
Что бы вы купили мерседес или бмв?
1. Мерседес
2. Круто и то и то иметь
3. А мне пофиг у меня жигули
4. БМВ
Как вы думаете какой из этих вариантов ответа выберут участники клуба мерседес?
OpenID быстр для входа, но не всегда подходит для серьезных проектов — так как запись сб армии ботов с OpenID может серьезно раздуть базу.
С точки зрения пользователя удобно когда и то, и то есть. К примеру, просто хочеться сайт посмотреть, а регистрироваться, подтверждать лень. Но это как пользователь, как вэбмастер, ставить openID не спешу, тот, кому нужно и так зарегистрируется, а кому не нужно, толлько так, посмотреть, пусть стороной идёт.
Если человек хочет осесть на сайте, всё равно будет регистрироваться ИМХО. Я всегда регю отдельный аккаунт на сайте, где планирую быть долго.
Если человек хочет осесть на сайте, всё равно будет регистрироваться ИМХО. Я всегда регю отдельный аккаунт на сайте, где планирую быть долго.
Sign up to leave a comment.
Нужна ли регистрация на интернет-сервисе или же лучше использовать OpenID