Korean Identity Management(KIM)

title; Live Blogging the OpenID/OAuth UX Summit
link; http://therealmccrea.com/2008/10/20/live-blogging-the-openidoauth-ux-summit/

요즘 포스팅 꺼리를 적어두고 못쓰는 일이 너무 많네요. 완성되지 않더라도 꼬박꼬박 올리는 편이 나을 것 같습니다..

지난 달, Google과 Yahoo!의 OpenID 사용성 보고서에 대한 내용이 OpenID/OAuth Summit에서 논의되었습니다. 위 링크에서 Live Blogging을 해줘서 마치 그 장소에 있었던 만큼의 정보를 얻을 수 있었습니다. 아주 많은 정보가 나왔으니 UX와 관련된 일을 하시는 분은 원문을 읽어보시길 바랍니다. 아래는 제가 관심있는 부분을 발췌한 부분입니다.

The Summit is a response to recent usability studies by Yahoo and Googlethat show the current state-of-affairs with OpenID and OAuth is quitepoor, and we need together to find a user experience for the “openstack” that works for consumers.

Facebook의 연구결과에 따르면 대부분의 사용자는 Phishing에 대해서 모른다고 합니다. 외국에는 피싱사이트로 인한 피해가 상당히 많은데 - 국내 사례는 들어본 적이 없습니다 - 도 불구하고 사용자들의 인식이 적다니, 만일 누군가 피싱사이트를 만들면 그 피해는 상상을 초월할 것 같습니다. 가령 네이버나 다음같은 포털, 금융 사이트인 경우에는 더 심각하겠죠.

Facebook research showed that users had little or no understanding or savvy about phishing and URLs.

OpenID에는 UI와 관련된 스펙이 없었는데, 이번 기회에 UI 스펙을 만들기로 했습니다.

Rising chorus for coming together to develop a common UI spec for OpenID. A call for five volunteers. Hands raised include Chris Messina(Vidoop), Joseph Smarr (Plaxo), Eric Sachs (Google), Max Engel(MySpace), and, drumroll, Julie Zhuo (Facebook). That’s great!

또한 OpenID의 스펙을 확장하여 email을 지원하도록 만들려고 합니다. OpenID 커뮤니티에서 2.1 버전을 만드는데 포함될 확률이 매우 높습니다.

Chris Messina advancing the idea of email address as OpenID, something under consideration for OpenID 2.1.

Chris Messina now leading a discussion about the proposal to extend the OpenID spec to allow email addresses as OpenIDs. Mike Jones of Microsoft asserts this creates a major security vulnerability.Discussion underway.

Yahoo!의 OpenID는 RP마다 다른 OpenID를 할당하는 기능을 제공합니다. 조사 결과에 따르면 임의로 만든 OpenID가 많이 사용된다네요. 그래서 처음에 저는 이렇게 생각했습니다. 현재는 RP에 reputation을 유지하려는 사람이 적다, 익명을 추구하는 사람들이 많다라고 말이죠.

그런데 실제로 사용해보면 초기 설정에서 한지 모르겠는데, 저는 자동으로 임의로 만든 OpenID를 사용하게 되어 있더군요. 그리고 사용중에는 선택을 변경하는 단계가 없었습니다. 그래서, 이 결과는 좀 다를 수도 있다고 봅니다.

Allen now showing and talking about Yahoo’s implementation of OpenID.It is *much* improved over the version they went out the door with(shrinking 14 steps to two). Allen shares that “machine-generated”OpenID URLs have proven *way* more popular than user-selected. Surprised reactions.

마지막으로 서밋 행사 사진입니다.(출처: http://www.flickr.com/photos/56624456@N00/)

title; Yahoo! Releases OpenID Research
link; http://developer.yahoo.net/blog/archives/2008/10/open_id_research.html

지난 7월, Yahoo!는 32-39세의 인터넷 중고급 수준인 여성 사용자 9명을 대상으로 OpenID의 사용성에 대한 테스트를 수행했습니다.[1]

일반적인 사람들이 느끼는 일반적인 OpenID의 단점은 다음과 같습니다.

- OpenID 인증하고 난 뒤에, 서드파티에서 새로 계정을 만드는 것 같은 작업을 해야 한다
- Yahoo! 사이트에 로그아웃하는 작업을 잊어버릴 것 같다.
- OpenID 의 암호가 노출되면 모든 사이트가 노출되는 것 아닌가?

사용성 테스트 결과로 발견한 문제는 다음과 같습니다.

1. discoverability가 낮다. 기존 로그인 방식 + OpenID를 제시하는 게 아니라
 - OpenID를 어떻게 쉽게 사용할지를 알려줘야 한다.

2. OpenID를 사용하는 방식이 혼란스럽다. 그냥 OpenID URL 넣는 방법, ID Selector를 사용하는 방법, OP 주소를 넣는 방법
 - OpenID URL을 넣는 방법과 로그인할 때 사용할 계정을 선택하는 방법만 제공

3. OpenID를 사용할 때 보이는 페이지가 너무 많다. 읽지도 않고 그냥 통과 버튼을 누른다. 로그인 프로세스가 바뀔 수도 있다.
 - 확인하는 페이지는 없앤다. 고객에게는 별다른 의미없다.
 - 다른 페이지로 빠지는 링크나 기술은 로그인 프로세스 내에 포함시키지 않는다.

4. 로그인 한 뒤에 예상하지 못한 페이지로 넘어가버린다.
 - 사용자가 예상하는 페이지로 이동시키도록 프로세스를 점검해야 한다.

5. OpenID로 한 번 로그인 한 사이트는 다음 번에 사이트의 id/pw로 로그인할 수 있다고 생각한다. OpenID로 로그인할 때 매번 물어보는게 왜 필요한가?
 - 사이트는 id/pw 로그인이 실패한 경우, OpenID 로그인을 시도한 건지 물어본다.
 - 1,2 문제를 해결하는게 도움이 될 수 있다.
 - 로그인 후 보이는 확인 페이지가 꼭 필요한가?

테스트 결과 아래와 같은 대처 방안을 제안했습니다.

1. OP와 RP간의 강한 파트너십 구축 필요
 - 혼란스럽지 않은 OpenID 사용이야말로 OP와 RP의 브랜드 성공에 직접적인 영향을 미침

2. 사용자 계정을 보호하는 방안을 미리 강구해야 함
 - 사용자에게 위험을 알리는 것보다 우선
 - 일관된 사용 흐름을 보여야 됨

OpenID가 일반인들에게 얼마나 어렵게 느껴지는지 실감할 수 있습니다. 한숨을 쉬고, 머리를 벽에 박고 싶을 정도로 괴로운 기술로 인식되는군요^^;

Observing these tests was more than a bit frustrating for the Yahoo!OpenID team, and the test subjects may have been distracted by thesounds of the groans and head-pounding coming from the other side ofthe one-way mirror. Certainly there is a lot of work to be done on theOpenID UX (user experience) front.

Yahoo!는 CAPTCHA 입력을 없애고 OP 페이지를 하나로 줄였습니다. 또한 사용자가 쉽게 RP로 돌아갈 수 있도록 했습니다. Yahoo!의 테스트 결과는 OpenID 측에서도 많은 이슈가 되고 있습니다. OpenID는 이 결과를 바탕으로 사용성을 개선할 수 있을 것입니다.

On the Yahoo! side of things, we streamlined our OP last week, andremoved as much as we could. We removed the CAPTCHA and slimmed downthe OP to just a single screen, and focused the UI to get the user back to the RP. We expect that RPs will enjoy a much higher success rate for users signing in with their Yahoo OpenID.

[1] http://developer.yahoo.com/openid/openid-research-jul08.pdf

2008년 2월 7일자로 Google, IBM, Microsoft, VeriSign, Yahoo! 가 OpenID 커뮤니티에 가입했습니다.[1] 'coporate' 보드 멤버로 가입하게 되었는데, 쉽게 말하자면 참여하는데 돈을 좀 냈다는 이야기더군요.[4] 보드 멤버들이 하는 일은 스펙과 관련된 기술적인 업무가 아닌 법적 이슈에 대처하는 것입니다. 이들 기업은 돈을 기부하여 OpenID의 지적 재산권 문제에 대처하는 일을 담당할 것입니다. [5]

That often means legal paperwork (to keep a single company from patenting important open standards, for example), and that means money is needed. Cash will also help with some much needed marketing and communications efforts.[5]

MS는 Mike Jones를 비롯하여  IBM와 Verisign은 멤버가 공개되었습니다. Google과 Yahoo!는 아직 정해지지 않았네요.[3]

2005년에 처음으로 OpenID가 등장한 이후[2], 2008년 현재 약 3억5천의 OpenID와 1만개가 넘는 사이트들이 존재하게 되었습니다. OpenID는 이제 주류 기술이라고 할만큼 성장하였죠.

In the past few months respected bloggers, analysts, and marketers have been writing about how OpenID needs to start being explained clearly, so that it can actually become a mainstream technology.[2]

Digital ID World의 Eric Norlin은 OpenID가 주류 기술로 등장하기 시작했지만, 실제로 중요한 역할을 담당할 수 있는 시점은 3-5년 정도로 생각하고 있다고 합니다.[4]

The hope now is that we can quickly move past establishing a ubiquitous identity layer for the internet, and get to building identity-based applications on top of that identity layer. And by "quickly" I mean sometime in the next 3-5 years. ;-)[4]

현재 많은 대기업들이 OP(OpenID Provider)가 되려고 하지만, RP(Relying Party)가 되려고는 하지 않습니다. 구글의 블로그 코멘트 덧글이나 Yahoo! 코리아의 오픈마루 서비스 제공은 예외적인 행보죠. 주로 OpenID를 원하는 사용자가 이탈하지 못하도록, 자사의 사용자에 대한 영향력을 확보하기 위한 수단으로 접근하고 있습니다. 아직은 명확한 수익모델도 없는 어정쩡한 상태인건 사실이죠.

Everyone, of course, wants to be an ID issuer, since they get to “own” the user. Less attractive is allowing users from other sites to log into your services, so don’t expect that functionality to come for some time.[6]

Google, IBM, Microsoft, VeriSign, Yahoo!가 보드 멤버로 가입한 이유는 지금 또는 향후에 추진할 OpenID 관련 사업을 원활이 처리하기 위해 지적재산권 문제를 해결하기 위해서라고 보여집니다. 한 단계 더 나아간다면, OpenID의 지적재산권 작업을 하면서 좀 더 돈이 될만한 이슈를 찾아내어 자사에 유리하게 먼저 지적재산권 작업을 추진할 수도 있습니다. 단순한 미투(me-too) 전략일지, 아니면 OpenID와 관련된 명확한 로드맵이 있는지는 두고봐야 하겠죠.

레퍼런스
[1] http://openid.net/2008/02/07/evolving-the-openid-foundation-board/
[2] http://brad.livejournal.com/2119855.html
[3] http://netmesh.info/jernst/News/technology-leaders-join-openid-foundation.html
[4] http://blogs.csoonline.com/openid_goes_corporate
[5] http://www.readwriteweb.com/archives/openid_big_companies.php
[6] http://www.techcrunch.com/2008/02/07/openid-welcomes-microsoft-google-verisign-and-ibm/
[7] http://uk.techcrunch.com/2008/02/07/google-microsoft-verisign-and-ibm-join-openid/

title; 야후 그리고 야후 코리아의 OpenID 도입, 조금 헷갈린다
link; http://nopdin.tistory.com/95

Yahoo! 코리아에서 NC소프트의 오픈마루가 제공하는 MyID 및 OpenID 지원 서비스들의 탑재를 발표했습니다. 2008년 1월 29일에 전략적 제휴를 맺고, 스프링노트/레몬펜/롤링리스트 + 1 서비스를 순차적으로 Yahoo! 코리아에 선보일 예정이라고 합니다.

또한 Yahoo! 코리아는 myID 마케팅에 집중할 계획입니다. 다양한 파트너 사이트드르이 OpenID를 적용할 수 있도록 'myID'의 대충화를 위해 공동 마케팅을 펼칠 예정입니다. Yahoo! 코리아의 메인페이지 하단을 보시면 이미 myID를 소개하는 페이지를 확인할 수 있습니다.

        출처: http://kr.yahoo.com/r/li/myid

하지만 의야스러운 점은 이미 Yahoo!는 'OpenID 프로바이더'라는 사실입니다. 자사의 OpenID가 있는데 왜 굳이 타사와의 협력을 통해 OpenID 서비스를 구축하고, 오히려 타사의 경쟁 서비스를 홍보하는 것일까요?

Yahoo! 저팬은 Yahoo! 본사와 동일한 전략을 수행합니다.

            출처: http://openid.yahoo.co.jp

하지만 Yahoo! 중국, 한국은 http://openid.yahoo.xx 서비스가 구동하지 않는군요.
NC소프트 입장에서는 상당히 좋은 결과지만, Yahoo! 코리아 측은 무슨 의도인지 궁금합니다.

이전 포스트  에서 Yahoo의 OpenID 프로바이더 진행 상황을 말씀드렸습니다.
Yahoo는 오늘 공식적으로 OpenID 지원을 발표하였습니다.

Yahoo! Announces Support for OpenID; Users Able to Access Multiple Internet Sites with Their Yahoo! ID

1월 30일에 공개 베타 서비스를 개시하고, OpenID로 'me.yahoo.com', 'www.yahoo.com', 'www.flickr.com'을 사용할 수 있다고 합니다. 관련된 내용은 이전 포스트에서 언급한 내용과 동일한 것 같습니다.

Yahoo!’s initial OpenID service, which will be available in public beta on January 30, enables a seamless and transparent web experience by allowing users to use their custom OpenID identifier on me.yahoo.com or to simply type in “www.yahoo.com” or “www.flickr.com” on any site that supports OpenID 2.0.

블로고스피어에서도 난리네요. 자세한 내용은 주말 내로 정리해 올리겠습니다.