Quelle est l'authentification locale ou l'authentification à distance plus conviviale (OpenID, OAuth)
Du point de vue de la convivialité uniquement (et non de la sécurité), qu'est-ce que les utilisateurs trouvent plus confortable?
Un site avec sa propre page de connexion (besoin de s'inscrire mais plus facile à connecter;
ou un site avec authentification à distance (pas besoin de s'inscrire, mais doivent être redirigés pour se connecter).
Je pense qu'actuellement, les utilisateurs sont plus à l'aise de simplement s'inscrire sur le site, mais c'est principalement parce que c'est ce que font la plupart des sites Web.
Si cela est fait correctement OpenID et OAuth peut très bien fonctionner. La façon dont StackExchange le fait est particulièrement bonne. Expliquez ce que c'est, montrez que si vous avez un certain type de compte, vous pouvez simplement appuyer sur le bouton, et aussi ce qu'il faut faire lorsque ce bouton est enfoncé. Cela rend presque (presque) amusant l'inscription à de nouveaux sites StackExchange.
Une autre option consiste à utiliser Facebook Connect qui ajoute un bouton "connexion avec Facebook" à votre site. Lorsque vous cliquez dessus, l'utilisateur ne quitte pas votre page, mais une boîte de dialogue modale de style Facebook s'affiche pour vous connecter, puis vous permet à votre application d'accéder à la date de votre utilisateur. Vous pouvez même demander des choses spéciales comme l'accès à la date de certains utilisateurs ou la permission de poster sur le mur des utilisateurs si vous le souhaitez. L'inconvénient évident de cela n'est pas que tout le monde a un compte Facebook (bien que plus d'un demi-milliard de personnes en aient).
FWIW, j'ai quitté un site car il m'a demandé quel était mon OpenID et je ne savais pas comment le trouver. Lorsque j'ai utilisé StackOverflow pour la première fois, il m'a fallu une seconde pour comprendre pourquoi il y avait un champ URL au lieu d'un champ nom d'utilisateur/mot de passe. Donc, si vous utilisez OpenID/OAuth/LiveID/etc. ne dites pas cela aux utilisateurs - c'est un détail d'implémentation.
Que vous utilisiez l'authentification unique (SSO) ou une méthode locale, vous demandez toujours à l'utilisateur de créer un compte et il ne le voudra probablement pas. Essayez de mettre autant de fonctionnalités de votre site dans le domaine anonyme/public que possible, et limitez la quantité d'interactions qui nécessitent un compte (par exemple, vous n'avez pas besoin d'un compte pour apprendre sur les sites StackExchange). Sucez-les avec des friandises avant de créer une relation définie avec eux.
Certaines situations où je pense que l'authentification unique a un avantage clair:
Vous intégrez avec un autre site ou application. Cela peut être Google, Twitter ou l'installation LDAP d'une entreprise (pensez aux intranets et à d'autres applications à l'échelle de l'entreprise).
Vous le fournissez comme alternative à un compte local. Je sais que je n'ai presque pas créé de compte StackOverflow à cause de l'authentification unique, mais je voulais déjà assez faire partie du site que j'étais prêt à investir. Cela aurait été plus facile si j'avais pu créer un compte local et laisser l'authentification unique à ceux qui l'aiment.
Et comme vous l'avez déjà vu, les réactions à SSO sont généralement positives sur ce site. Je ne pense pas que cela soit surprenant si l'on considère les personnes qui utilisent ce site:
Ils ont déjà acheté SSO à un certain niveau lorsqu'ils l'ont utilisé pour créer un compte sur ce site.
Ils ont très probablement une compétence supérieure à la moyenne dans l'utilisation des technologies Web. Après tout, ils publient des réponses sur un site de questions-réponses bêta sur l'interface utilisateur.
À votre santé.
Ma réponse correspond à peu près à ce qui est ici. Je dirais que Twitter et Facebook devraient se connecter comme options de connexion au minimum. Je dirais presque que vous supprimez complètement l'option Nom d'utilisateur/mot de passe (ne vous inquiétez pas des réinitialisations de mot de passe et de tous les jumbo mumbo qui vont avec) sont de grands avantages) mais il y a toujours la "légère" chance de perdre des utilisateurs potentiels qui ne le connaissent pas.
Personnellement, je suis ennuyé chaque fois qu'un site me force à créer un autre combo nom d'utilisateur/mot de passe et c'est au point où je discute réellement si l'utilisation de ce site en vaut la peine. Je m'attends à ce que cela se rapproche de la norme avec le temps.
La marque "OpenID" est d'une technologie prohibitive, et si elle ne présente que ces deux options (OpenID ou local), les utilisateurs choisiront probablement "local".
Cependant, regardez Gawker, HuffingtonPost et tout autre site vraiment énorme nécessitant une participation authentifiée. Tous prennent en charge les connexions Facebook, Twitter, etc., et la plupart des utilisateurs utilisent ces options au lieu de la connexion locale.
Le processus OpenID/OAuth (connexion centrale unique, authentification distribuée) est préféré par les utilisateurs, tant que vous ne leur dites pas réellement ce qui se passe.