[emilv]

Jag noterar att OpenID börjar få fäste så smått som inloggningsmetod. Som användare tycker jag det är bra och hoppas att fler tar till sig konceptet.

För den som inte vet är OpenID en lösning för inloggning där man inte behöver skapa ett konto för varje sajt man vill kunna logga in på. Man väljer en OpenID-leverantör där man skapar sitt konto och fyller i sina uppgifter. Sedan kan man registrera sig på nya sajter enbart genom att fylla i adressen till sin OpenID-leverantör. Hur autentiseringen sedan går till är upp till den man har sitt OpenID hos. Oftast är det fortfarande vanliga lösningen med användarnamn och lösenord, men eftersom många har "Kom ihåg mig" så behöver man bara logga in en enda gång för att vara inloggad på alla sajter.

Förutom att registreringsförfarandet bara blir två steg ("ange din OpenID-leverantör" på sajten man vill bli medlem på, och hos leverantören trycka "OK") så finns det fler fördelar. Man behöver till exempel inte lämna ut sitt lösenord på varenda liten skitsajt och det blir lätt att byta lösenordet centralt om det kommer på vift. Man får hoppas att OpenID-leverantörerna även är extra duktiga på att hålla lösenord och liknande hemligt jämfört med många mindre webbsajter.

Jag registrerade mig idag på Tele2:s hemsida och upptäckte att de faktiskt erbjuder OpenID. Tidigare har ju varenda tele- och Internetoperatör använt olika lösenord (ofta genererade som inte kan bytas), och jag har nästan varje gång varit tvungen att generera ett nytt varje gång jag ska logga in.

Hoppas att den här trenden håller i sig så att webbhotell, e-postleverantörer, webbutiker, forum etc får upp ögonen för fördelarna med OpenID!

Känner du till någon som erbjuder OpenID som inloggningsmetod? Jag undrar om det är fler svenska företag som gör det?

[tartareandesire]

Jag skulle personligen känna mig betydligt mindre säker om jag använde OpenID. Används ett och samma system på alla ställen så är det en onödig säkerhetsrisk.

[emilv]

Citat:

Ursprungligen postat av tartareandesire

Jag skulle personligen känna mig betydligt mindre säker om jag använde OpenID. Används ett och samma system på alla ställen så är det en onödig säkerhetsrisk.

Varför då? Alternativet som jag ser det är att välja olika lösenord på varje system, vilket förvisso är görbart med hjälp av ett lösenordsprogram men det är knappast enklare. Om OpenID som protokoll i grunden är säkert och OpenID-leverantören aktivt täpper igen säkerhetshål tror i alla fall jag att det är tillräckligt säkert (ingenting är någonsin absolut säkert). Jag har betydligt mindre förtroende för småsajter och alla gatissystem som många kör.

[tartareandesire]

Citat:

Ursprungligen postat av emilv

Varför då? Alternativet som jag ser det är att välja olika lösenord på varje system, vilket förvisso är görbart med hjälp av ett lösenordsprogram men det är knappast enklare. Om OpenID som protokoll i grunden är säkert och OpenID-leverantören aktivt täpper igen säkerhetshål tror i alla fall jag att det är tillräckligt säkert (ingenting är någonsin absolut säkert). Jag har betydligt mindre förtroende för småsajter och alla gatissystem som många kör.

Grejen är ju den att på en "skitsajt" så har man normalt sett ingen känslig information lagrad. Som du säger blir ett system aldrig helt säkert och används ett system på det viset så blir det betydligt mer eftertraktat för inte bara vanliga hobbyhackare utan blir dessutom mycket intressant för de internationella kriminella nätverken (där finns idag inte enbart korkade muskelbergstereotyper). Dessutom slipper man krångla den dagen leverantören lägger ner (IT-branschen är inte särskilt stabil).

OpenID är inte en usel idé men jag tycker personligen inte att fördelarna överväger nackdelarna.

[pelmered]

Citat:

Ursprungligen postat av tartareandesire

Grejen är ju den att på en "skitsajt" så har man normalt sett ingen känslig information lagrad. Som du säger blir ett system aldrig helt säkert och används ett system på det viset så blir det betydligt mer eftertraktat för inte bara vanliga hobbyhackare utan blir dessutom mycket intressant för de internationella kriminella nätverken (där finns idag inte enbart korkade muskelbergstereotyper). Dessutom slipper man krångla den dagen leverantören lägger ner (IT-branschen är inte särskilt stabil).

OpenID är inte en usel idé men jag tycker personligen inte att fördelarna överväger nackdelarna.

Man lagrar ju alltid lösenord på varje skitsite och man kan ju aldrig veta om det ens är krypterat. Därmed måste man ju ha ett unikt lösenord på varenda site man använder och då blir hanteringen väldigt jobbig.
Med OpenID slipper du allt det krånglet och det räcker med att du har ett riktigt bra lösenord som du kan komma ihåg i huvudet. Ingen av skitsiterna kommer kunna se ditt lösenord.
Jag tror inte att exempelvis Googles OpenID-tjänst kommer lägga ner i första taget heller.

Men finns ju som sagt både fördelar och nackdelar. Jag tycker nog att fördelarna överväger.

[tartareandesire]

Citat:

Ursprungligen postat av ITisGood.se

Man lagrar ju alltid lösenord på varje skitsite och man kan ju aldrig veta om det ens är krypterat. Därmed måste man ju ha ett unikt lösenord på varenda site man använder och då blir hanteringen väldigt jobbig.
Med OpenID slipper du allt det krånglet och det räcker med att du har ett riktigt bra lösenord som du kan komma ihåg i huvudet. Ingen av skitsiterna kommer kunna se ditt lösenord.
Jag tror inte att exempelvis Googles OpenID-tjänst kommer lägga ner i första taget heller.

Men finns ju som sagt både fördelar och nackdelar. Jag tycker nog att fördelarna överväger.

Nja, man behöver ju inte ha ett unikt lösenord för varje sajt oavsett. På alla struntsidor där inget viktigt sparas kan man ju köra vad som. Dessutom går det ju alldeles utmärkt att spara alla lösenord lokalt och sätta ett huvudlösenord om man t.ex. kör Firefox. Jag förstår poängen men för egen del finns det ingen fördel som uppväger nackdelarna.

[studiox]

Jag tycker det är lika spännande att säga att website supportar openID som att säga att en website supportar HTTP.

OpenID är ju ett protokoll för authorization men är ju totalt värdelöst om det inte finns en bra databas som gör authentication.

Om jag vill använda OpenID så måste jag själv starta en provider, och vilken nytta har du en användare som besöker min sajt av OpenID då? Eller har jag fattat det fel?

[emilv]

Citat:

Ursprungligen postat av studiox

Om jag vill använda OpenID så måste jag själv starta en provider, och vilken nytta har du en användare som besöker min sajt av OpenID då? Eller har jag fattat det fel?

Som användare måste du ha en OpenID-leverantör. Det kan vara du själv (om du vill slippa molnet och/eller helt enkelt ha full kontroll själv), men det kan även vara någon som erbjuder den tjänsten. Google är till exempel en OpenID-leverantör så alla med ett Google-konto kan logga in med det på de sajter som har stöd för protokollet. Andra stora OpenID-leverantörer är Yahoo, Wordpress.com, Flickr och Myspace. Även Verisign erbjuder OpenID-tjänster om du vill slippa leverantörer med flashiga web 2.0-tjänster.

Citat:

Ursprungligen postat av studiox

Jag tycker det är lika spännande att säga att website supportar openID som att säga att en website supportar HTTP.

Jag förstår faktiskt inte liknelsen. Det finns per definition ingen webbsida som saknar stöd för HTTP, men det finns många sajter som inte stödjer OpenID.