Journal Étude d'usabilité sur d'OpenID

Posté par .
Tags : aucun
10
14
oct.
2008
Yahoo vient juste de publier les résultats d'une étude d'usabilité sur OpenID faite auprès de quelques uns de leurs utilisateurs. Puisqu'on a pas mal parlé d'OpenID ici, cela me semble assez intéressant comme étude.

Pour résumer, une fois expliqué il semble que le concept d'OpenID soit assez bien compris et que les utilisateurs y trouvent un intérêt.

D'un autre côté aucun des sujets soumis au test n'avait entendu parler d'OpenID auparavant, la technologie n'est donc pas encore répandue, et de nombreuses mauvaise utilisations ont été constaté (confusion entre l'authentification classique et OpenID).

Le document est disponible ici, http://developer.yahoo.com/openid/bestpractices.html , et intéressera bien quelqu'un. Il y a notamment des conseils sur comment expliquer OpenID aux utilisateurs et sur l'intégration d'OpenID dans les applications.
  • # Faux.

    Posté par . Évalué à -4.

    On dit usure, pas usabilité.

    Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

    • [^] # Re: Faux.

      Posté par . Évalué à 2.

      L’utilisabilité ou usabilité est définie comme « le degré selon lequel un produit peut être utilisé, par des utilisateurs identifiés, pour atteindre des buts définis avec efficacité, efficience et satisfaction, dans un contexte d’utilisation spécifié ». Ce qui n'a bien sur rien à voir avec le document dont je parle.

      Autrement tu as un commentaire intéressant à faire peut être ? *

      * Cette question s'applique même au cas ou usabilité ne serait pas le bon terme, pas la peine de faire 400 commentaires la dessus.
      • [^] # Re: Faux.

        Posté par . Évalué à 10.

        > Autrement tu as un commentaire intéressant à faire peut être ? *

        Non. Sauf pour dire que je préfère utilisabilité à usabilité.
        • [^] # Re: Faux.

          Posté par (page perso) . Évalué à 3.

          Ergonomie, c'est pas mal non plus, non ?
          • [^] # Re: Faux.

            Posté par (page perso) . Évalué à 2.

            L'u(tili)sabilité n'est qu'une partie de l'ergonomie, qui prend également en compte des problématiques de santé.
      • [^] # Re: Faux.

        Posté par . Évalué à 8.

        Pour continuer sur ce sujet, mon dictionnaire ne connait pas le therme usabilité qui me semble être un dérivé de l'anglais. Quelle est le dictionnaire qui te donne cette définition pour usabilité?
        Dans tout les cas, je préfaire utilisabilité, car usabilité ressemble bien trop à usable dont la signification n'a rien à voir.
        Et pour revenir au sujet, je trouve justement OpenId trop complexe et difficilement fiable. En tout cas, c'est mon impression.
  • # On devrait commencer ici...

    Posté par . Évalué à 4.

    Combien de personnes utilisent OpenID ici?
    Perso je savais que ça existait, mais juste pour la forme parce que j'avais 5min, je viens de me crée un identifiant OpenID France, et si je pense avoir vu passer des champs d'entrée pour ça, je ne saurais encore dire où je vais bien pouvoir m'en servir!
    • [^] # Re: On devrait commencer ici...

      Posté par . Évalué à 8.

      Le principal problème avec OpenID c'est que tout le monde est d'accord pour être "fournisseur" d'OpenID (Yahoo, MySpace, Livejournal...), mais il n'y a pas grand monde pour laisser leurs utilisateurs se logguer avec un OpenID d'un autre service.

      Citons quand même:
      * Blogger (quand tu commentes le blog de quelqu'un d'autre)
      * Wordpress.com (même chose)
      * Magnolia (un delicious-like, qui est l'un des rares services où tu peux utiliser ton OpenID au lieu de créer un compte).

      Ensuite, un autre problème d'OpenID c'est que ça va faciliter le phishing. On visite un site web pour la première fois, et on clique sur un lien qui va nous demander de saisir son mot de passe d'un autre site. Il suffit donc de copier la page de login d'un service très populaire (genre Yahoo) pour voler les mots de passes.
    • [^] # Re: On devrait commencer ici...

      Posté par . Évalué à 2.

      > Combien de personnes utilisent OpenID ici?

      moi.
    • [^] # Re: On devrait commencer ici...

      Posté par (page perso) . Évalué à 1.

      Ça pourrait être un sujet de sondage ...

      Perso, je l'utilise quand c'est possible, mais ce n'est pas encore souvent possible, alors souvent mon OpenID dort.
    • [^] # Re: On devrait commencer ici...

      Posté par . Évalué à 1.

      J'utilise également OpenID à chaque fois que possible. J'utilise mon propre nom de domaine en .name et https://www.myopenid.com/ comme provider, et je compte bien devenir mon propre provider dès que je pourrai me monter un petit serveur basse conso à la maison.

      Il est vrai toutefois que j'ai rarement l'occasion de l'utiliser, ma.gnolia.com et les commentaires sur certains blogs mis à part...
  • # OpenID et Yahoo

    Posté par . Évalué à 3.

    C'est bien beau de faire des enquête sur OpenID monsieur Yahoo, mais lorsque j'ai voulu utilisé Flirck (un des services de yahoo) et que je n'ai pas trouvé comment m'y connecter avec mon identifiant venant de myopenid.com, ce service perd tout son sens.
  • # Sécurité?

    Posté par . Évalué à 2.

    Ca me semble dangereux de donner à un tiers l'accès à toutes les authentifications de tous les sites que l'on visite...
    • [^] # Re: Sécurité?

      Posté par (page perso) . Évalué à 2.

      euh... tu peux être ton propre fournisseur d'authentification, donc bon, de ce point de vu là, il n'y a aucun problème.
      • [^] # Re: Sécurité?

        Posté par . Évalué à 4.

        Donc pour éviter d'avoir à retenir 3 mots de passe, je dois m'installer un serveur dédié?
        • [^] # Re: Sécurité?

          Posté par . Évalué à 3.

          Non. Ce n'est pas pour éviter d'avoir à retenir les mots de passe (sinon effectivement le navigateur fait très bien son boulot), mais pour éviter de les transmettre à des tiers dont tu ne connais théoriquement pas la probité.

          Tu peux aussi choisir d'utiliser (comme on aurait tous du le faire depuis longtemps) un mot de passe par compte, mais avec l'explosion du nombre de services en ligne ça devient de moins en moins gérable.
          • [^] # Re: Sécurité?

            Posté par (page perso) . Évalué à 4.

            Et bien à part avoir le serveur openid chez toi, tu ne connais pas la probité de ton gestionnaire openid (à qui tu as transmis le password).

            De plus, quid d'un site qui autorise openid, comment peut-il faire confiance à ton serveur openid ?

            Conclusion avec openid au lieu d'un seul problème de confiance (fais-je confiance au site pour lui donner mon password), on a un double problème de confiance, pour l'utilisateur même problème qu'avant mais en plus maintenant le serveur doit se méfier du serveur d'authentification openid.
            • [^] # Re: Sécurité?

              Posté par . Évalué à 5.

              Et bien à part avoir le serveur openid chez toi, tu ne connais pas la probité de ton gestionnaire openid (à qui tu as transmis le password).

              Pas forcément. Dans la pratique, ton fournisseur (pour utiliser la terminologie officielle) OpenID a de bonnes chances d'être un service chez lequel tu as déjà des billes (Yahoo, ...). Si, a plus forte raison, ce service a déjà accès à des informations confidentielles (quand tu t'inscris sur un service web, tu mets toujours une adresse hébergée chez toi ou chez quelqu'un en qui tu as totalement confiance?), OpenID ne t'enlèvera rien de ce point de vue.

              De plus, quid d'un site qui autorise openid, comment peut-il faire confiance à ton serveur openid ?

              La seule chose que ton "serveur" (fournisseur, on a dit... essayons d'appeler les choses par leur nom, sinon on va rien panner) certifie au site, c'est que l'utilisateur "http://monfournisseur.truc/bidule" est bien celui qui vient de faire une demande d'authentification. C'est tout. OpenID n'est pas fait pour prouver que les intentions de l'utilisateur sont honorables ou qu'il vote écologiste. Ca n'exempte pas les services "consommateurs" (ou relaying party, si j'ai bien suivi) de faire les vérifications d'usage : captcha, envoi d'un mail de confirmation, coup de téléphone aux proches, ou que sais-je encore.

              OpenID ne remplace qu'une chose : le couple login/password. Et la pratique désastreuse qui consiste à donner à des gens que tu ne connais pas les clés de chez toi dans le seul but qu'ils puissent vérifier que tu es bien ce que tu es. Si tu es déjà quelqu'un de très rigoureux et que tes mots de passe ne se recoupent jamais d'un site à l'autre, alors effectivement ça ne t'apportera rien de plus. Pour tous les autres, ça peut s'avérer pratique (et encore plus avec les extensions OpenID+XMPP, apparemment).
              • [^] # Re: Sécurité?

                Posté par . Évalué à 2.

                quand tu t'inscris sur un service web, tu mets toujours une adresse hébergée chez toi ou chez quelqu'un en qui tu as totalement confiance?

                Ce n'est pas un problème, puisque toutes les inscriptions modernes n'envoient pas le mot de passe par mail.

                Et la pratique désastreuse qui consiste à donner à des gens que tu ne connais pas les clés de chez toi dans le seul but qu'ils puissent vérifier que tu es bien ce que tu es.

                Pas compris.
                • [^] # Re: Sécurité?

                  Posté par . Évalué à 3.

                  Ce n'est pas un problème, puisque toutes les inscriptions modernes n'envoient pas le mot de passe par mail.

                  Presque toutes te permettent de récupérer un nouveau mot de passe sur l'adresse avec laquelle tu t'es inscrit, ce qui revient au même.

                  Pas compris.

                  Intellectuellement, c'est très discutable de donner, pour que quelqu'un puisse t'identifier, un truc qui lui permet également de se faire passer pour toi. C'est ce côté symétrique, qui est terriblement dérangeant. C'est un peu pour ça qu'on utilise du chiffrement à sens unique (hachage) pour le stockage des mots de passe sur un poste. Sauf que dans le cas d'un service distant, rien ne te garantit que les choses seront stockées de cette manière. Avec l'explosion des services en ligne, ça devient un véritable problème.
                  • [^] # Re: Sécurité?

                    Posté par (page perso) . Évalué à 3.

                    > Intellectuellement, c'est très discutable de donner, pour que quelqu'un puisse t'identifier, un truc qui lui permet également de se faire passer pour toi.

                    Moui, c'est vrai que quand tu donnes ton adresse mail à quelqu'un, il peut se faire passer pour toi et envoyer des mails qui sembleront venir de toi. Mais pour éviter ça on utilise gpg.

                    Par contre tu donnes ton adresse, mais tu ne donnes pas les clefs, de même que tu ne donnes pas ton numéro de carte bleue à n'importe qui, le mot de passe de ton compte mail, personne ne t'oblige à le donner. Donc le maichant type peut écrire sur sa fausse carte d'identité qu'il est toi et qu'il habite chez toi, mais il ne peut pas entrer chez toi
                    • [^] # Re: Sécurité?

                      Posté par (page perso) . Évalué à 2.

                      Moui, c'est vrai que quand tu donnes ton adresse mail à quelqu'un, il peut se faire passer pour toi et envoyer des mails qui sembleront venir de toi. Mais pour éviter ça on utilise gpg.
                      Ce qui entend un cercle de confiance entre les possesseurs de clés. Le problème de la confiance en un tiers n'est pas résolu.
                  • [^] # Re: Sécurité?

                    Posté par . Évalué à 2.

                    Presque toutes te permettent de récupérer un nouveau mot de passe sur l'adresse avec laquelle tu t'es inscrit, ce qui revient au même.

                    C'est à ça que serve les questions "Quel est ma couleur de chien préféré?" :-)
    • [^] # Re: Sécurité?

      Posté par (page perso) . Évalué à 3.

      J'ai assez peu creusé sur OpenId car j'ai buté sur ce problème.

      Pour moi la seule utilisation possible d'OpenId est d'être son propre fournisseur OpenID.
      Cela implique que les sites acceptent ton OpenId. Déjà qu'ils n'arrivent pas à s'accepter mutuellement entre grosse société, d'ici à ce qu'ils acceptent des serveurs OpenId de particuliers !
      • [^] # Re: Sécurité?

        Posté par (page perso) . Évalué à 1.

        Ils sont obligés d'accepter les OpenID de n'importe qui. Du moins j'espère, car sinon, ce n'est plus OpenID
        • [^] # Re: Sécurité?

          Posté par . Évalué à 2.

          Obligés, non. Il est possible, par exemple, de monter une version "intranet" d'OpenID, ne permettant le login qu'aux gens qui ont un OpenID de l'entreprise.

          Après, des gens - comme Elgg - prônent une acceptation à plusieurs vitesses : une liste "verte" de fournisseurs OpenID pour lesquels la création de compte est automatique (sans vérification), une orange pour laquelle la création est soumise à une phase de validation, et une liste rouge de fournisseurs bannis (spammeurs reconnus, etc).

          Ca permet de limiter l'impact des OpenID-spambots à venir, tout en offrant de pouvoir encore simplifier les choses pour les "good guys" reconnus. Et ça n'empêche pas les gens normaux de se connecter, du moins pas davantage que les systèmes actuels.
    • [^] # Re: Sécurité?

      Posté par . Évalué à 1.

      Est-il possible de se créer des alias avec openID ?
      Un autre risque est celui de l'anonymat si on est obligé d'utiliser le même identifiant pour tous les sites.
  • # openidfrance.fr

    Posté par (page perso) . Évalué à 1.

    j'ai voulu essayé openId sur 1 ou 2 sites. Je me suis créer un compte sur openifdrance.fr

    mais quand j'ai voulu l'essayer ça ne marchait pas parce que leur site ne "supporte" pas opera. J'ai droit à une page blanche au moment du login sur un site. J'ai envoyé un mail il y a plus de qq mois et rien n'a toujours été fait.

    Sujet: TR: problème avec opera et openidfrance.fr
    Date: Fri, 18 Jul 2008 10:54:05 +0200
    "Merci de toutes ces informations...
    Et en effet les tests n'ont pas encore été fait sous Opéra,

    C'est une version bêta et très prochainement une autre version sera en ligne
    Nous faisons au mieux pour résoudre cet incident

    Avec toutes nos excuses"

    donc j'ai vite laissé tombé. de toute façon c'était pour esayer...

    ca fait pas sérieux pour celui qui veux être le site incontournable en france sur l'openid
  • # Mot de passe

    Posté par (page perso) . Évalué à 2.

    Avec les navigateurs que retiennent les mots de passes, ceux-ci ont encore de l'avenir.

    J'ai un compte openid, à part pour tester l'authentification par openid d'une application que je développais, il ne m'a jamais servi.

    Envoyé depuis mon lapin.

    • [^] # Re: Mot de passe

      Posté par . Évalué à 5.

      Mais arretez avec ce "openid ca sert qu'à retenir de nombreux mots de passe, mon {firefox, konqueror, post it} le fais top moumoute trop bien"

      c'est clairement pas le but !!

      le but c'est d'éviter de donner ton mot de passe a 42 services internet différent. Ben oui qui te dit que tous ils cryptent ton mot de passe avant de l'enregistrer en base par exemple ?

      Tu pense que tout tes facebook, myspace, viadeo, marecettedecuisine.com, monsitetropbien.free.fr, phpBB3 mettent plus de moyen sur la sécurité ou sur leur contenu ?

      OpenId permet de les décharger de la gestion de l'authentification et stockage des données et se charge 'lui' de garantir la sécurité de tes données persos.

      Après oui il faut toujours faire confiance a un serveur openId mais bon il vaut mieux faire confiance mille fois à une personne que mille fois à 42 personnes
      • [^] # Re: Mot de passe

        Posté par (page perso) . Évalué à 2.

        Mais arretez avec ce "openid ca sert qu'à retenir de nombreux mots de passe, mon {firefox, konqueror, post it} le fait"

        c'est clairement pas le but !!

        le but c'est d'éviter de donner ton mot de passe a 42 services internet différent.


        Mais puisque $BROWSER retient les mots de passe, tu ne mets pas le même mot de passe à tes 42 services mais 42 mots de passe différents. Et comme $BROWSER++ est intelligent, c'est lui qui génère des mots de passe aléatoires quand tu te connectes à un nouveau service. Ainsi, si un de tes 42 mots de passe fuit, un seul de tes 42 mots de passe aura fuit. Après, il faut faire confiance 1000 fois à $BROWSER, qui pourrait tout à fait envoyer tous tes mots de passe à qui il veut, mais sans navigateur, c'est plus difficile d'aller sur le web.
        • [^] # Re: Mot de passe

          Posté par (page perso) . Évalué à 4.

          Ca ne marche que si tu utilises toujours le même browser et sur le même PC. Avec OpenID il suffit d'avoir qu'une passe phrase à retenir et ca fonctionne avec tous les browsers même sur le PC d'un autre.
          • [^] # Re: Mot de passe

            Posté par . Évalué à 4.

            Je confirme. Quand tu as une machine perso, un laptop perso, une station pro et un laptop pro tu fais un peu moins le malin avec tes mots de passe aléatoires. Si tu rajoutes à ca que dans les 5 prochaines années tu changeras certainement de browser ou que tu auras un crash disque ou une machine de pret... Et que tu changeras certainement aussi d'email un jour...

            Gérer tout ces mots de passe est un vrai problème. Je veux bien que trois geeks soient capable de se souvenir de tout, mais ce n'est vraiment pas le cas de tout le monde, moi compris. Mon mot de passe DLFP je l'ai choisi il y a... 6 ans tu crois que je m'en souviendrais encore avec un mdp unique et aléatoire ?

            Et le problème de la confiance existe déjà entre le site web et toi, et bien souvent avec tout les gens qui font transiter le joli mail contenant ton mot de passe ou le lien d'activation/changement de mot de passe ! Tu fais bien confiance a ta banque pour ton argent, a ton FAI/google pour tes mails pourquoi tu ne pourrais pas avoir confiance en un fournisseur OpenID ?
            • [^] # Re: Mot de passe

              Posté par (page perso) . Évalué à 2.


              pourquoi tu ne pourrais pas avoir confiance en un fournisseur OpenID ?


              Ok et moi gestionnaire d'un site pourquoi devrais-je avoir confiance en n'importe quel serveur OpenID ? parce que c'est bien beau tout ça, mais des serveur OpenID tout le monde peut en créer un...
              • [^] # Re: Mot de passe

                Posté par . Évalué à 4.

                Je ne suis pas un expert d'OpenID, pour être franc je ne l'utilise même pas dans la vie réelle. N'hésites pas à me corriger si je me plante.

                Un utilisateur est identifié par une URI qui dépend d'un fournisseur OpenID donné. Une personne choisi donc de faire confiance à ce fournisseur et uniquement lui.

                D'un point de vue du site, si le serveur est réglo alors évidement il n'y a pas de problème.
                Un serveur malveillant peut, au pire, permettre la création de faux comptes pour des spam bots ou autre.
                Un serveur malveillant ne peut pas faire une fausse réponse pour un autre fournisseur OpenID, la sécurité des utilisateurs n'est pas mise en cause.

                Ma question est donc. Est ce que l'introduction d'OpenID change fondamentalement les choses ? Les comptes à spam, ce n'est pas l'introduction d'OpenID qui va les inventer ou les faire disparaître. Au premier login OpenId tu balances un captcha et l'affaire est dans le sac.

                Après il est évident que les géants vont se faire la guerre pour être LE fournisseur OpenID (l'idée n'est pas nouvelle passport ne date pas d'hier). Ce qui fait rentrer l'argent c'est la pub et les informations clients. Donc si tu autorises les autres fournisseurs OpenID pour tes services, tu prends le risque de perdre beaucoup d'informations précieuses...
              • [^] # Re: Mot de passe

                Posté par (page perso) . Évalué à 1.

                Et pourquoi devrais-tu avoir davantage confiance en n'importe quelle personne qui vient se créer un (ou plusieurs) compte ?
            • [^] # Re: Mot de passe

              Posté par (page perso) . Évalué à 3.

              Voilà, il y a un moment où il faut faire confiance à quelqu'un. Ça peut être un truc qui propose du openId, ça peut être un machin qui propose de synchroniser les passwords entre navigateurs (il y a des extensions firefox qui font ça, opera propose ça, il y a des programmes qui font ça pour mac osx), ça peut être un bidule que tu te fais à la main. Mais il y a des mots de passe que je suis prêt à confier à mon navigateur, des mots de passe que je suis prêt à confier à un serveur distant et des mots de passe que je préfère garder dans un coin de ma tête, je crois donc qu'aucune de ces solutions n'est la bonne solution dans tous les cas.
              • [^] # Re: Mot de passe

                Posté par . Évalué à 2.

                Sauf qu'un mot de passe c'est stocké de deux cotés :

                - client : ta tête, navigateur, post it, serveur distant, extension firefox
                - serveur : le service auprès duquel tu veux t'authentifier.
                • [^] # Re: Mot de passe

                  Posté par (page perso) . Évalué à 0.

                  Mouais... d'habitude y a juste le hash qui est stocké, c'est absurde de stocker le mot de passe tel quel. Et si le mot de passe est stocké et bien c'est je trouve une erreur de conception assez grosse... Il est vrai par contre qu'en tant qu'utilisateur d'un site, on a aucun moyen de savoir si il pratique la méthode beuh ou la méthode poudre verte.
                  • [^] # Re: Mot de passe

                    Posté par . Évalué à 3.

                    c'est absurde de stocker le mot de passe tel quel

                    Pour un hébergeur honnête, effectivement ça n'apporte pas grand chose (sauf de pouvoir renvoyer un mot de passe oublié, mais pour un utilisateur averti c'est plus gênant qu'autre chose).

                    Pour quelqu'un d'un peu filou, en revanche, c'est intéressant. Surtout avec la tendance actuelle d'utiliser des adresses e-mail comme identifiant : sur une base de 100 utilisateurs, combien ont utilisé le même mot de passe pour leur compte mail et pour les services ayant cette même adresse e-mail comme identifiant?

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.