OpenID est l'initiative pour un système d'authentification décentralisé, permettant une identification unique.
Un service d'ores et déjà disponible, comme le souligne Neteco, pour les" 17 millions de clients "internet" et 23 millions de clients "mobile" d'Orange France". Le futur de l'authentification déjà chez Orange
L'OpenID a pour but d'implémenter à grande échelle le principe d'identification unique et de SSO (Single Sign-On). En pratique, l'utilisateur dispose d'un compte unique auquel il aura souscrit à une autorité délivrant ces identités numériques, à l'instar d'OpenIDFrance.fr ou obtenu dans le cas présent par son fournisseur de service Internet (Orange).
Cette initiative s'inscrit purement dans la simplification des usages du web. D'une part, l'identification unique permet d'éviter d'avoir à créer n comptes pour n sites, mais un seul compte permet de s'authentifier sur tout les sites supportant le protocole. Un gain de temps non négligeable lorsqu'il s'agit de se rappeler de quel compte on dispose sur quel site et avec quel mot de passe...
D'autre part, le Single Sign-On est un procédé permettant, par passage d'attribut (héritage), d'utiliser la première connexion à un site pour arriver déjà connecté sur les sites suivants supportant l'OpenID.
Ce procédé sera une avancée considérable dans l'utilisation du Web, pour tout les portail/forum/wiki, les sites de vente en ligne, les sites (le site...) d'enchère, les banques, etc...
Un système ouvert et décentralisé
Une particularité de ce système d'authentification réside en sa décentralisation. En effet la plupart du temps, lorsqu'un utilisateur entre son login/password, l'application va aller vérifier l'identité dans une base (locale ou déportée), mais souvent liée au site en question. Avec OpenID, le site en question n'a pas besoin de disposer de cette base d'authentification, mais fait confiance à une autorité, ou fournisseur d'identité. Le profil de l'OpenID peut alors être importé dans le site, et donc partagé entre tout les sites implémentant l'OpenID. Ce système est dit décentralisé car il ne dépend pas d'un seul organisme fournissant ces OpenIDs. L'entreprise bien connue qu'est VerySign pourra en fournir, tout comme l'association OpenIDFrance.org. Il n'y a donc pas de base commune.
De plus, les spécifications étant ouvertes, tout organisme ou personne morale peut se proposer comme fournisseur d'identité. Une liste non exhaustive des serveurs est par ailleurs disponible en lien.
Enfin, le développement d'OpenID est placé sous l'égide de l'OpenID Fundation qui coordonne les efforts et est chargée de promouvoir le système.
Espérons maintenant voir les autres opérateurs emboîter le pas rapidement en ajoutant cette fonctionnalité à l'expérience utilisateur révolutionnaire.
Aller plus loin
- Openid.net (7 clics)
- OpenID sur Wikipedia (13 clics)
- OpenID sur Wikipedia (3 clics)
- Run your own Identity server (4 clics)
- L'info sur ZDnet (4 clics)
- Service OpenID d'Orange (34 clics)
# OpenID et XMPP
Posté par Nÿco (site web personnel) . Évalué à 6.
http://openid.xmpp.za.net/
http://beta.xmppid.net/
[^] # Re: OpenID et XMPP
Posté par benoar . Évalué à 2.
Par contre, niveau sécurité, la confirmation passe par ton serveur Jabber, donc t'as intérêt à avoir confiance ... parce que on pourra hijacker la session facilement si on est un admin de serveur jabber (bon, juste le temps de la session).
[^] # Re: OpenID et XMPP
Posté par Omega (site web personnel) . Évalué à 1.
L'admin du serveur OpenID peut aussi se faire passer pour toi, mais là c'est sur que ça rajoute un intermédiaire qui peut se connecter à ta place à tous les endroits où tu utilises openID.
# Tracking
Posté par peck (site web personnel) . Évalué à 5.
Bientôt donc l'arrviée d'une nouvelle génération de publicités ciblées.
[^] # Re: Tracking
Posté par jeffcom . Évalué à 2.
c'est pas parce qu'il y a "open" dans le nom que c'est mieux et que ça rend les gens "libres"... tiens ça me donne une idée de phrase :
"all open thing don't make people free"... je la note...
et puis ce système me fait un peu trop penser au "passeport" de MS...
[^] # Re: Tracking
Posté par Buf (Mastodon) . Évalué à 7.
[^] # Re: Tracking
Posté par jeffcom . Évalué à 3.
[^] # Re: Tracking
Posté par Buf (Mastodon) . Évalué à 3.
Tu pourras donc toujours utiliser des adresses jetables pour les sites qui n'inspirent pas confiance, ou utiliser des adresses uniques qui contiennent le nom du site (ça doit même être possible d'automatiser ça si on est son propre fournisseur)
[^] # Re: Tracking
Posté par Maxime Ritter (site web personnel) . Évalué à 1.
Et de toute façon, ça va faire comme les mails : le service n'étant pas bien cher à créer, on va avoir des fournisseurs gratuits d'OpenID qui n'ont pas les moyens de vérifier que Pierre Schmoll est bien le Pierre Schmoll qu'il prétends être derrière son clavier.
Donc si Open ID se développe (ce qui est bien souhaitable), on va certainement aussi se retrouver à utiliser des "Open ID" jetables de la même manière que nos adresses jetables actuelles.
[^] # Re: Tracking
Posté par patton . Évalué à 1.
[^] # Re: Tracking
Posté par jeffcom . Évalué à 7.
super ! je résume:
Avant : mails jettables
Après : ID jettables...
...quelle avancée ! \o/
# Super !
Posté par Jerome Alet (site web personnel) . Évalué à 4.
> et donc partagé entre tout les sites implémentant l'OpenID.
Génial !
Moi qui voulait justement, lorsque je rentre mon adresse et mon numéro de téléphone sur un site bien précis (genre achat en ligne), que ces infos soient partagées avec n'importe qui utilisant le même protocole, et ce sans mon consentement préalable... C'est exactement ce que je cherchais...
> De plus, les spécifications étant ouvertes, tout organisme ou
> personne morale peut se proposer comme fournisseurs d'identité.
Et les personnes physiques dans tout ça ? Si une personne physique ne peut se proposer comme fournisseur d'identité, les spécifications ont beau être ouvertes, l'utilisation ne l'est pas...
<disclaimer>
Je n'ai pas été voir le site en question, ma réaction est donc basée uniquement sur l'article linuxfr, et est à ce titre peut être erronée... (espérons)
</disclaimer>
[^] # Re: Super !
Posté par Buf (Mastodon) . Évalué à 4.
Alors, plusieurs choses :
- tu n'es pas obligé d'enregistrer quoi que ce soit dans ton profil OpenID
- le fournisseur OpenID ne va en général pas donner ces infos sans ton consentement. En général, la première fois que tu utilises OpenID pour te connecter sur un site, tu vas voir quelles infos le site en question demande, et pouvoir choisir ce que tu veux transmettre
- dans tous les cas, c'est complètement optionnel, et rien n'empêche d'utiliser OpenID uniquement pour l'authentification
Les personnes physiques aussi peuvent être fournisseur d'identité. Comme dit plus haut, ça peut se faire simplement en installant un petit script PHP.
[^] # Re: Super !
Posté par Fabien Engels . Évalué à 1.
# Décentraliser pour mieux centraliser.
Posté par psychoslave__ (site web personnel) . Évalué à -3.
Franchement si vous êtes sur votre PC à la maison et que vous voulez de l'identification automatique, enregistrer les sur votre disque, il suffit de cliquer sur OK. Stocker tout ses mots de passe en clair chez une entreprise, qui plus est aussi peut recommandable qu'un fournisseur d'abonnement de téléphone portable en plus, je vois pas ce qu'on peut trouver de réjouissant la-dedans.
Si vous êtes sur beaucoup de postes, etbien retenez vos mots de passe. Les 10 secondes qu'on passe à saisir un mot de passe valent largement le coup par rapport à la sécurité qu'il apporte.
[^] # Re: Décentraliser pour mieux centraliser.
Posté par Steven Le Roux . Évalué à 5.
Alors que là on te propose d'avoir un système simple, chiffré SSL, mais tu préfères l'authentification en clair ?
Pourquoi parles-tu de stocker tes pwd chez une entreprise ? Tu as mal saisi le principe : ça ne fonctionne que sur les sites implémentant OpenID, ce n'est pas comme du SSO sur une passerelle VPN à qui tu as entré les champs du formulaire et par lequel tu fais un POST pour te logguer... là je serais d'accord avec toi... mais rien de tout ça ici.
[^] # Re: Décentraliser pour mieux centraliser.
Posté par psychoslave__ (site web personnel) . Évalué à -3.
Après si tu as des services où tu t'authentifie en clair, et bah tu as pas le choix, tu t'authentifie en clair. Si ils ont un service d'authentification chiffré pour openID, je vois pas pourquoi il en aurait pas sans openID, et inversement.
Tu m'excuseras mais pour moi «plus simple» c'est pas forcément synonyme de progrès.
C'est du discours de marketeu de bas étage qu'on nous balance dans cette dépêche :
- «simplification des usages du web» :et donc mieux, bien entendu, créer un compte et taper un mot de passe, c'est tellement compliqué!
- «Un gain de temps non négligeable» : c'est sûr c'est des heures de productivité que je perd à taper des mots de passe!
- «[inutile de] se rappeler de quel compte on dispose sur quel site» : à trop cool, vivement le jour où je n'aurais enfin plus besoin de retenir quoi que ce soit, et qu'enfin où puisse me faire l'ablation de cet organe indésirable qu'est le cerveau
- une avancée considérable dans l'utilisation du Web : enlarge your p3nis!
- expérience utilisateur révolutionnaire : VI4GR4!!!!!
Je me marre.
[^] # Re: Décentraliser pour mieux centraliser.
Posté par zyphos . Évalué à 3.
2. Si tu mets le même mot de passe pour tous les sites cela revient au même. C'est même nettement pire. Si un seul de ces sites a une faille, d'office on te vole tous les accès aux autres sites, ce qui est beaucoup plus probable. De plus, rien ne t'empêche d'utiliser d'autres comptes OpenID selon le type de site.
3. Pour ton traçage et pubs ciblées, il te suffit de choisir un fournisseur OpenID qui s'engage à ne pas t'espionner. Pour info, tu peux monter toi même ton propre serveur OpenID.
4. Non c'est clair que rentrer ton mot de passe ne te tue pas, mais en entreprise. (Oui, oui ça existe) Il est très rébarbatif de faire la même opération, alors si elle peut être automatisée (Single Sign On) pourquoi s'en priver ? D'ailleurs quand on voit le prix des solutions SSO on se doute bien que beaucoup de personnes sont interressées dans la solution, pas mal de sociétés sont spécialisées là dedans. Mais bon faut sortir de chez soit pour s'en apercervoir. Aller à des salons etc,...
5. Il faut bien se dire que le site qui requiert l'authentification ne sait pas quels autres sites sont visités avant et après. Donc ici Orange ne pourra vous traquer que sur son site, mais qui ne le fait pas ? C'est déjà autre chose que Google, doubleclick, etc.. qui vous traquent en permanence et en toute transparence, il faut se dire que juste l'affichage d'une pub, d'un pixel, ou tout autre composant vous trace illico. Et ce sans vous demander quoi que ce soit.
De toute façon être anonyme sur le net est une utopie. Sauf peut-être pour des gens malins, ayant une très bonne connaissance de tous les systèmes et qui prennent le temps de le faire.
Le truc bien, c'est qu'avant de critiquer une technologie, on se renseigne un peu dessus. Afin d'éviter de transmettre de fausses idées aux autres...
[^] # Re: Décentraliser pour mieux centraliser.
Posté par psychoslave__ (site web personnel) . Évalué à 2.
J'ai moi même bossé sur de l'intégration SSO dans des applis web. Donc je suis pas le trou du cul qui est jamais sortit de chez lui...
De plus tu me parles tout à coups de SSO dans une entreprise. Mais là il s'agit d'un fournisseur d'abonnement téléphonique, de la vie privé des gens. À contexte différents, problèmes différents, solutions différentes.
Bah moi j'ai bonne espoir dans des solutions comme tor. Ce n'est pas encore ça, mais on en est qu'au balbutiement.
Ce qui serait pas mal aussi, c'est de ne pas prendre son interlocuteur pour le dernier des crétins qui parle sans avoir aucune notion du sujet juste parcequ'il n'a pas la même opinion que soi.
[^] # Re: Décentraliser pour mieux centraliser.
Posté par Buf (Mastodon) . Évalué à 1.
Qui te dit que les mots de passe sont stockés en clair ? Par contre, un truc dont je suis sûr, c'est que la plupart des sites sur lesquels je vais ne proposent pas de SSL, donc les mots de passe sont transmis en clair. Avec OpenID, on peut forcer le SSL pour l'envoie du mot de passe, pour tous les sites. Rien que pour ça, c'est intéressant.
Et si vraiment tu veux une sécurité maximale, il y a toujours la possibilité de mettre en place son propre serveur, et là, tu peux être 100% sûr que ton mot de passe n'est jamais stocké en clair (ou alors, on peut aussi d'autres méthodes d'authentification, un certificat X509 par exemple)
Et si on les oublie, on peut toujours demander un nouveau mot de passe, qui sera envoyé en clair par email.... Géniale la sécurité.
[^] # Re: Décentraliser pour mieux centraliser.
Posté par psychoslave__ (site web personnel) . Évalué à 1.
C'est fort ça, tu arrives à force à fournir un service qu'il ne fourni pas?
Si le serveur n'a pas de certificat SSL et n'accepte pas de requète sécurisé, j'ai du mal à voir comment il va accepter ta connexion openID.
Mais bon openID c'est encore mieux que la poudre verte, même pas besoin que le service auquel on se connecte inclus openID, openID peut forcer le serveur à ce reconfigurer pour qu'il utilise openID.
Ça dépend du service. Puis si tu arrives pas à retenir tes mots de passe, imprime les et range les dans un classeur. C'est pas ce qu'il y a de plus sécurisé, mais pour les obtenir il faudrait déjà rentrer chez toi (physiquement je veux dire).
[^] # Re: Décentraliser pour mieux centraliser.
Posté par zyphos . Évalué à 3.
L'authentification se fait par le site qui héberge ton OpenID qui lui possède le SSL. La communication entre le site visité et le serveur OpenID est toujours cryptée (SSL). Grâce à cette technique le site visité n'a pas besoins de certificat SSL. Il est client de ton serveur OpenID comme toi tu es clients de sites SSL et que tu ne possèdes pas non plus de certificats sur ton PC.
Donc au final, si le site visité n'a pas de SSL l'OpenID renforcent grandement la procédure de login.
[^] # Re: Décentraliser pour mieux centraliser.
Posté par patton . Évalué à 0.
C'est fort ça, tu arrives à force à fournir un service qu'il ne fourni pas?
Si le serveur n'a pas de certificat SSL et n'accepte pas de requète sécurisé, j'ai du mal à voir comment il va accepter ta connexion openID.
Il vaudrait vraiment mieux que tu lises la norme avant de poster à tord et à travers car d'après tes affirmations basé sur un article de presse on peut clairement voir que tu ne l'as pas fait.
Si ton IDP OpenID offre de du SSL toutes tes authents se feront en SSL et ce quelque soit le service.
[^] # Re: Décentraliser pour mieux centraliser.
Posté par Larry Cow . Évalué à 2.
Cela dit, si le site visité n'a pas les certificats signant ton serveur OpenID, comment peut-il être certain que c'est bien lui?
[^] # Re: Décentraliser pour mieux centraliser.
Posté par zyphos . Évalué à 3.
soit le site H: site hébergeant ton openID. (Myopenid.com par exemple)
Lors de ta première visite tu créés un compte chez V, la vérification de l'authentification de H n'est pas importante à ce moment car à ce moment là, tu n'as aucune données stockées sur le site V.
Lors de cette première visite, V et H conviennent d'un "secret commun" (signature). Encodée soit avec HMAC-SHA1 (clé longue de 160 bits), soit avec HMAC-SHA256 (clé longue de 256bits).
Il suffit de vérifier cette signature lors de suivantes visites pour vérifier l'authenticité de H.
Pour info, il y avait déjà eu une news à l'époque (2006)
http://linuxfr.org/~mildred/22041.html (C'est grâce à elle que je me suis interressé la première fois à l'OpenID)
Mais à cet époque l'OpenID était en 1.0, il me semblait qu'on parlait déjà de la version 1.1. La version 2.0 est en Draft actuellement.
Pour l'histoire que quelqu'un prenne le controle de tous vos compte lors du hack du serveur OpenID choisis, sachez que la même faille existe actuellement, enfin en un peu moins grave selon les sites. Cela s'appelle le couple, "Oublié le mot de passe" et "email", si quelque prend le controle de votre email. On se retrouve dans le même cas.
Un autre cas ou l'OpenID est plus sécurisé, si on vole le nom de domaine de votre email.
En redirigeant l'email vers votre serveur, on peut grâce à l'option "J'ai oublié mon mot de passe" récupérer le tout.
Sauf si vous avez une question secrète.
Pour l'OpenID, c'est d'office le cas grâce au secret partagé.
Un autre gros avantage de l'OpenID, c'est auto complétion des coordonnées, si vous l'autorisez bien sûr !
# Linux FR
Posté par Aurélien Bompard (site web personnel) . Évalué à 7.
[^] # Re: Linux FR
Posté par Gniarf . Évalué à 3.
[^] # Re: Linux FR
Posté par Bruno Michel (site web personnel) . Évalué à 3.
D'autres part, OpenID semble poser des problèmes. Nous attendons des réponses à [https://linuxfr.org/comments/860880.html] pour nous convaincre ;-)
Vous savez ce qu'il reste à faire pour avoir OpenID sur LinuxFR.org.
Ce commentaire est posté en mon nom uniquement, mais je pense qu'il est partagé par les autres admins LinuxFR.org.
[^] # Re: Linux FR
Posté par Aurélien Bompard (site web personnel) . Évalué à 1.
(c'était exactement ce que j'attendais : contrairement à ce que mon post pourrait faire penser, je n'étais pas juste en train de crier que je voulais un poney)
# Décentraliser pour mieux centraliser ?
Posté par LupusMic (site web personnel, Mastodon) . Évalué à 2.
En fait, ce n'est pas si bête que ça, mais ça pose le problème de centraliser le service chez un prestataire. Je sais bien que tout le monde n'a pas les compétences pour héberger sois-même ce service, mais ce serait une bonne chose de le gérer sois-même, plutôt que de faire confiance à un tiers.
Avant de lire la page d'OpenId, j'étais très méfiant vis-à-vis de ce protocole. Je le suis un peu moins à présent, mais cela pose tout de même le problème de la sécurité. Car au lieu d'avoir un verrou pour chaque porte, on a une télécommande à distance pour ouvrir toutes les portes et fenêtres.
[^] # Re: Décentraliser pour mieux centraliser ?
Posté par Aldoo . Évalué à 3.
Je m'explique : je parle d'un logiciel qui "juste marcherait" : pas de serveur http à configurer, pas de ports à ouvrir sur le NAT/FW, voilà, juste un petit démon facile à installer, qui fonctionnerait en symbiose avec le porte-feuille de clés du système de bureau.
Cela supposerait que la connexion ne soit plus initiée par le site demandant authentification, mais par le serveur d'identité (à savoir le logiciel dont je parle), donc il faudrait que le site le fasse comprendre au navigateur, et que le navigateur aille réveiller le démon.
L'intérêt de cela :
- par rapport à OpenID : pas besoin de donner sa confiance à un prestataire tiers
- par rapport aux solutions de portefeuille de mots de passe + autocomplétion (comme dans Firefox, ou bien Konqueror+kwallet) : procédure unifiée pour l'inscription et l'authentification aux différents sites, ainsi que suppression du besoin de crééer 36 000 mots de passe (ou utiliser 36 000 fois le même), puisqu'il s'agira de secrets partagés entre les sites et le démon, générés automatiquement comme dans OpenID.
Est-ce que ça existe ?
[^] # Re: Décentraliser pour mieux centraliser ?
Posté par Maxime Ritter (site web personnel) . Évalué à 1.
Plus sérieusement, sous windows, pour simplifier les logins, s'en souvenir et avoir de l'autocomplétion des forms, tu pourras essayer ça : http://www.roboform.com/fr/
Je n'ai pas trouvé d'équivalent libre aussi avancé.
[^] # Re: Décentraliser pour mieux centraliser ?
Posté par Aldoo . Évalué à 2.
[^] # Re: Décentraliser pour mieux centraliser ?
Posté par Pascal Terjan (site web personnel) . Évalué à 2.
Me faire spammer des sites par des mecs qui se loguent en openid avec un serveur en russie ca enleve de l'interet a demander un compte...
Donc avoir des gros fournisseurs comme ca c'est bien parce que tu peux les mettre dans une liste de domaines de confiance.
# grand mère...
Posté par Francois Revol (site web personnel) . Évalué à 1.
# PTDR !!!
Posté par bezilla . Évalué à 2.
Je ne vois nul part ou s'identifier avec son openid sur orange.fr ?????
Evidemment si chacun refuse le serveur du concurrent , je ne vois vraiment pas a quoi ca sert !!! Decidemment chez Orange on a toujours eu un probleme avec le concept de libre concurence ;-)
[^] # Re: PTDR !!!
Posté par xylome . Évalué à 1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.