Was ist benutzerfreundlicher lokale Authentifizierung oder Remote-Authentifizierung (OpenID, OAuth)
Was ist für Benutzer aus Sicht der Benutzerfreundlichkeit (nicht der Sicherheit) komfortabler?
Eine Site mit einer eigenen Anmeldeseite (muss sich anmelden, ist dann aber einfacher anzumelden;
oder eine Site mit Remote-Authentifizierung (muss sich nicht anmelden, sondern muss zum Login umgeleitet werden).
Ich denke, derzeit fühlen sich Benutzer wohler, wenn sie sich nur vor Ort anmelden. Dies liegt jedoch hauptsächlich daran, dass die meisten Websites dies tun.
Wenn es richtig gemacht wird, können OpenID und OAuth sehr gut funktionieren. Die Art und Weise, wie StackExchange es macht, ist besonders gut. Erklären Sie, was es ist, und zeigen Sie, dass Sie einfach drücken können, wenn Sie einen bestimmten Kontotyp haben die Schaltfläche und auch, was zu tun ist, wenn diese Schaltfläche gedrückt wird. Es macht fast (fast) Spaß, sich für neue StackExchange-Websites anzumelden.
Eine andere Möglichkeit ist die Verwendung von Facebook Connect , mit der Sie Ihrer Website die Schaltfläche "Mit Facebook anmelden" hinzufügen können. Wenn Sie darauf klicken, verlässt der Benutzer Ihre Seite nicht, sondern es wird ein modaler Dialog im Facebook-Stil angezeigt, in dem Sie sich anmelden können. Anschließend kann Ihre App zu Ihrem Benutzerdatum gelangen. Sie können sogar nach besonderen Dingen fragen, z. B. nach dem Zugriff auf einige Benutzerdaten oder nach der Erlaubnis, auf Wunsch an der Pinnwand der Benutzer zu posten. Der offensichtliche Nachteil dabei ist, dass nicht jeder einen Facebook-Account hat (obwohl über eine halbe Milliarde Menschen dies tun).
FWIW, ich habe einmal eine Site verlassen, weil sie mich nach meiner OpenID gefragt hat und ich nicht wusste, wie ich sie finden kann. Als ich StackOverflow zum ersten Mal verwendete, brauchte ich eine Sekunde, um zu erkennen, warum dort ein URL-Feld anstelle eines Benutzernamen-/Passwortfelds vorhanden war. Wenn Sie also OpenID/OAuth/LiveID/etc. Verwenden. Sagen Sie das nicht den Benutzern - es ist ein Implementierungsdetail.
Unabhängig davon, ob Sie Single Sign On (SSO) oder eine lokale Methode verwenden, muss der Benutzer immer noch ein Konto erstellen, und er möchte dies wahrscheinlich nicht. Versuchen Sie, so viele Funktionen Ihrer Site wie möglich im anonymen/öffentlichen Bereich bereitzustellen, und begrenzen Sie die Anzahl der Interaktionen, für die ein Konto erforderlich ist (z. B. benötigen Sie kein Konto, um auf StackExchange-Sites zu lernen). Saugen Sie sie mit Leckereien ein, bevor Sie eine definierte Beziehung zu ihnen aufbauen.
Einige Situationen, in denen SSO meiner Meinung nach einen klaren Vorteil hat:
Sie integrieren sich in eine andere Site oder Anwendung. Dies kann Google, Twitter oder die LDAP-Installation eines Unternehmens sein (denken Sie an Intranets und andere unternehmensweite Anwendungen).
Sie bieten es als Alternative zu einem lokalen Konto an. Ich weiß, dass ich wegen SSO fast kein StackOverflow-Konto erstellt habe, aber ich wollte schon so sehr Teil der Website sein, dass ich bereit war zu investieren. Es wäre einfacher gewesen, wenn ich ein lokales Konto hätte erstellen und SSO denen überlassen können, die es mögen.
Und wie Sie bereits gesehen haben, sind die Reaktionen auf SSO auf dieser Website im Allgemeinen positiv. Ich denke nicht, dass dies überraschend ist, wenn man die Leute betrachtet, die diese Seite benutzen:
Sie haben sich bereits auf einer bestimmten Ebene für SSO entschieden, als sie damit ein Konto auf dieser Website erstellt haben.
Sie verfügen höchstwahrscheinlich über überdurchschnittliche Kenntnisse im Umgang mit Webtechnologien. Immerhin veröffentlichen sie Antworten auf einer Beta-Q & A-Site über die Benutzeroberfläche.
Prost.
Meine Antwort stimmt ziemlich genau mit dem überein, was hier ist. Ich würde sagen, Twitter und Facebook Connect sollten mindestens als Anmeldeoptionen verwendet werden. Ich würde fast sagen, dass Sie die Option Benutzername/Passwort ganz entfernen sollten (ohne sich Gedanken über das Zurücksetzen des Passworts zu machen und all das damit verbundene Hokuspokus sind einige großartige Vorteile), aber es besteht immer die "leichte" Chance, dass Sie potenzielle Benutzer verlieren die nicht damit vertraut sind.
Ich persönlich ärgere mich, wenn eine Site mich zwingt, eine andere Kombination aus Benutzername und Passwort zu erstellen, und es ist an einem Punkt angelangt, an dem ich tatsächlich darüber debattiere, ob sich die Verwendung dieser Site lohnt. Ich gehe davon aus, dass sich dies mit der Zeit der Norm annähert.
Die Marke "OpenID" ist unerschwinglich technisch, und wenn nur diese beiden Optionen (OpenID oder lokal) angeboten werden, wählen Benutzer wahrscheinlich "lokal".
Schauen Sie sich jedoch Gawker, HuffingtonPost und andere sehr große Websites an, die eine authentifizierte Teilnahme benötigen. Alle unterstützen Facebook-, Twitter- usw. Anmeldungen, und die meisten Benutzer verwenden diese Optionen anstelle der lokalen Anmeldung.
Der OpenID/OAuth-Prozess (einzelne zentrale Anmeldung, verteilte Authentifizierung) wird von Benutzern bevorzugt, sofern Sie ihnen nicht tatsächlich mitteilen, dass dies der Fall ist.