OpenID и все-все-все

Более чем, хомячки, завидев волшебные два окошечка, с удовольствием вбивают туда данные от мейлрушечки или вконтактега.

А о нормальных людях ты подумал?

А о нормальных людях ты подумал?

Нормальным людям на таких сайтах делать нечего, тем более трафика с них, как с козла молока.

А о нормальных людях ты подумал?

Не сегодня.

Пока на ЛОРе не сделали OpenID — не готов.

Только по инвайтам.

инвайтам, получаемых по рекомендациям небольшого круга пользователей ресурса

Не нужно плодить лишних сущностей типа логина. Предпочительно же использовать e-mail, — он есть (должен быть?) у всех и каждого, ибо это самый простой элемент в интернете (легко доступен через публичные сервисы, можно поднять локально). Мобильный телефон тоже может быть не у всех (я не пользуюсь, хорошо быть свободным). Регистрироваться в социальных сетях это уже по желанию пользователя, — хорошо, если вы поддерживаете такую фичу на своем сервисе, но она не обязательна. Я все еще скептичен к социальным сетям, уж лучше старушка электропочта с мейллистами. OpenID/OAuth неплохая идея, когда их можно поднять локально (и хранить всю информацию в одном месте), либо так же как e-mail они доступны через публичный сервис, в остальном же не вижу других отличий от самого e-mail, — очередная сущность.

Так вот, еще лучше и для юзабилити (всего одно поле ввода) и для безопасности не использовать пароль на сайте вообще, а только e-mail. При входе на сайт вводишь e-mail, тебе на почту приходит секретная одноразовая ссылка, по которой нужно перейти и ты идентифицирован. Если утечет e-mail — будет не так страшно, как если бы утек пароль, который пользователь использует где-то еще помимо вашего сайта.

С нынешним развитием ПО есть desktop-клиенты и web 2.0 интерфейсы для почты на любой вкус и сделать несколько кликов (это максимум) чтобы переключиться туда-сюда за одноразовой ссылкой кажется легче, чем морочиться с секретным словом (паролем). Не нужно запоминать пароли для каждого сервиса и придумывать методики их хранения, защиты и т.п., поскольку защитить один единственный e-mail адрес и помнить один единственный пароль для него будет проще.

Пароль это нормально, но каждый сервис считает себя самым главным и все они требуют логин+пароль. Может быть даже такое, что мой логин (ник) на сайте кем-то занят, — неприятно. С e-mail такого не будет (в конце концов, можно поднять на своем домене почту, если ваше имя/ник вам (как и мне) так важно). Я же говорю о том, что необходимо запомнить и использовать только один пароль, для такого важного сервиса как e-mail, куда поступает вся информация со всех остальных ваших аккаунтов на сервисах в интернете. Для тех, у кого есть мобильные телефоны, можно сделать еще безопаснее и не использовать пароль, а вам каждый раз при желании зайти на почту будет приходить SMS с одноразовым кодом (паролем).

Просто я так вообще паролями не пользуюсь. Когда нужно идентифицироваться на сайте, каждый раз пользуюсь функцией «забыл пароль», чтобы мне выдали новый пароль на e-mail. Так действительно проще, чем запоминать пароль от каждого сайта персонально или придумывать методику их хранения, когда сайтов много, а вы один.

Безопасно хранить пароли — не хранить их вообще. Почему бы не переложить все на плечи email? Он популярен, есть у каждого. То есть, юзверь хочет зарегистрироваться/идентифицироваться на сайте, то вводит один лишь email адрес, ему приходит временная, одноразовая ссылка, по которой нужно пройти и все, — создается сессия, юзверь идентифицирован на сайте. Не нужно придумывать, запоминать, доверять какому-то сайту пароли. А проще довериться почтовому сервису, хоть на локалхосте, хоть какому-нибудь популярному, в котором есть двухступенчатая авторизация и так далее. То есть, без доступа к email никак не получить доступ на сайт. м?

тред не читал. давно не делаю регистраций вида логин-пароль, зачем это нужно, для чего и кому, неясно. брат жив, зависимость есть, как говорится. никто пока не жаловался.

Не думаю, ты же требуешь деанона от юзера, ему придётся представиться и тебе и возможно юзерам твоего сайта. Оставь оба варианта, удобно будет всем кроме тебя.

ты же требуешь деанона от юзера

Русскому гражданину скрывать нечего.

для сайта да, а для других юзеров совсем не обязательно. Т.е. есть учетка на сайте, привязанная к openid. Вход через OpenID, но на сайте отображаются данные учетки сайта, а не OpenID-провайдера. Тем более OpenID != соцсеть.

У меня гмыло, наприме, OpenID. Это называется я деанонимизируюсь? Почту я и так указываю при регистрации

Дело говоришь, с одной стороны, НО.

По твоей методике можно уже сейчас (восстановление), а если мне удобно с паролями и не всегда под рукой мой почтовый клиент? Кроме того, почта часто передается нешифрованной (как и пароли, впрочем) что дает возможность кулхацкеру через скрипт и сниффер авторизоваться заперед тебя.

И именно один единственный емэйл - большая небезопасность, ибо угнать что-то одно куда проще.

Запоминать много паролей? Придумай один и изменяй для каждого сайта на основании доменного имени + секретной формулы у тебя в голове + чего-нибудь еще, если охота.

Логин - лишняя сущность? Это зачастую имя на сайте. Ели будут все сообщения подписываться user@domain1.ru или user@domaain1.ru то сложно будет отличить где кто.

А Спам?

Идея хороша.. Лично мне нравится.. Ибо достало, что некоторые соц. сети, да и не только они, (приходится использовать иногда) задолбали криками «Вашу страницу взломали, поменяйте пароль», а потом «Нельзя ставить пароль, который уже был»

Persona от Mozilla должна заменить их всех, email точно есть у всех