O que é autenticação local mais amigável ou autenticação remota (OpenID, OAuth)
Somente da perspectiva da usabilidade (não da segurança), o que os usuários acham mais confortável?
Um site com sua própria página de login (é necessário se inscrever, mas é mais fácil fazer o login;
ou um site com autenticação remota (não precisa se inscrever, mas precisa ser redirecionado para fazer login).
Acho que atualmente os usuários estão mais à vontade em apenas se inscrever no site, no entanto, é principalmente porque é isso que a maioria dos sites faz.
Se feito corretamente, OpenID e OAuth podem funcionar muito bem. A maneira como o StackExchange faz isso é particularmente boa. Explique o que é, mostre que, se você tiver algum tipo de conta, basta pressionar e também o que fazer quando esse botão é pressionado.Ele quase torna divertida a inscrição em novos sites do StackExchange.
Outra opção é usar Facebook Connect que adiciona um botão "login com Facebook" ao seu site. Quando clicado, o usuário não sai da página, mas recebe uma caixa de diálogo modal no estilo do Facebook para fazer login e, em seguida, permite que o aplicativo chegue à data do usuário. Você pode até pedir coisas especiais, como acesso a algumas datas dos usuários ou permissão para publicar no mural dos usuários, se desejar. A desvantagem óbvia disso é que nem todo mundo tem uma conta no Facebook (embora mais de meio bilhão de pessoas o faça).
FWIW, uma vez deixei um site porque ele me perguntou qual era meu OpenID e não sabia como encontrá-lo. Quando usei o StackOverflow, levei um segundo para perceber por que havia um campo de URL lá em vez de um nome de usuário/senha. Então, se você usa OpenID/OAuth/LiveID/etc. não diga isso aos usuários - é um detalhe de implementação.
Se você usa o SSO (logon único) ou um método local, ainda está exigindo que o usuário crie uma conta e provavelmente não deseja. Tente colocar o máximo possível da funcionalidade do seu site no domínio anônimo/público e limitar a quantidade de interações que exigem uma conta (por exemplo, você não precisa de uma conta para aprender nos sites StackExchange). Sugá-los com guloseimas antes de você ter um relacionamento definido com eles.
Algumas situações em que acho que o SSO tem um benefício claro:
Você está se integrando a outro site ou aplicativo. Pode ser a instalação do Google, Twitter ou LDAP de uma empresa (pense em intranets e outros aplicativos em toda a empresa).
Você está fornecendo isso como uma alternativa a uma conta local. Sei que quase não criei uma conta StackOverflow por causa do SSO, mas já queria fazer parte do site o suficiente para estar disposto a investir. Teria sido mais fácil se eu pudesse criar uma conta local e deixar o SSO para quem gosta.
E como você já viu, as reações ao SSO são geralmente positivas neste site. Eu não acho isso surpreendente quando você considera as pessoas que usam este site:
Eles já compraram o SSO em algum nível quando o usaram para criar uma conta neste site.
Eles provavelmente têm uma proficiência acima da média no uso de tecnologias da web. Afinal, eles estão postando respostas em um site beta de perguntas e respostas sobre a interface do usuário.
Felicidades.
Minha resposta concorda bastante com o que está aqui. Eu diria que o Twitter e o Facebook se conectam como opções de login, no mínimo. Eu quase sempre diria remover a opção Nome de usuário/senha completamente (não se preocupe com redefinições de senha e todo o mumbo jumbo que o acompanha são algumas ótimas vantagens), mas sempre há a "pequena" chance de que você perca potenciais usuários que não estão familiarizados com isso.
Pessoalmente, fico irritado sempre que um site me obriga a criar outra combinação de nome de usuário/senha e chega ao ponto em que eu realmente debate se o uso desse site vale a pena. Espero que isso se torne mais próximo da norma ao longo do tempo.
A marca "OpenID" é proibitivamente tecnológica e, se apresentada apenas com essas duas opções (OpenID ou local), os usuários provavelmente escolherão "local".
No entanto, observe o Gawker, o HuffingtonPost e outros sites extremamente importantes que precisam de participação autenticada. Todos eles suportam logins do Facebook, Twitter etc., e a maioria dos usuários usa essas opções em vez do login local.
O processo OpenID/OAuth (login central único, autenticação distribuída) é preferido pelos usuários, desde que você não diga a eles o que está acontecendo.