Commentaires sur : OpenID : nouveau standard d’identification sur Internet, comment ça marche ?

Par : Olivier Chorier

Olivier Chorier — Thu, 03 Mar 2011 19:13:27 +0000

Un billet a été écrit récemment décrivant l’installation de SimpleID, un serveur Open ID vraiment très simple à mettre en place. Ca m’a pris 1h ou à peine plus. AU moins vous gérez votre propre sécurité, vous savez ou sont stockés les mots de passe, etc.
http://www.generation-linux.fr/index.php?post/2011/01/08/Soyez-votre-propre-fournisseur-OpenID-avec-SimpleID

Par : fmottet

fmottet — Sat, 14 Jul 2007 16:55:09 +0000

Je trouve votre article très bien, expliquant bien ce qu’est openId. Je trouve le principe d’identité numérique géniale, permettant de prouver son identité à l’inscription des sites et centralisé pour tous les services web… Je pense vraiment qu’OpenId à un très bel avenir devant lui…

Par : PONDAVEN Yves-Marie

PONDAVEN Yves-Marie — Tue, 17 Apr 2007 13:17:12 +0000

Ne ne confie pas mon openid a des sociétés... je le gere sur mon serveur !

la librairie phpMyId est très bien pour gérer ca.

je vais essayer de faire mieux car j'ai ma propre autorité de certification et mon propre certificat personnel.
Si je suis fort de faire utiliser mon certificat pour obtenir une habilitation sur mon propre serveur openid, plus besoin de user/password. j'aurais un SSO comme ca.

et le tout sans utiliser de mot de passe, même sur mon serveur !

le script phpmyid ne gere qu'une seule personne mais au moins il est relativement simple et il n'y a pas besoin de grand chose pour que ca marche !

Par : Tricky-ft

Tricky-ft — Mon, 12 Mar 2007 13:31:11 +0000

Je suis clairement contre pour diverses raisons :

– On ne veut pas forcemment donner un acces identique aux informations nous concernant aux différents sites. ( ex :je veux bien que le site sur lequel j’ai passé commandé ait mon numéro de téléphone, mais je refuse qu’un site sur lequel j’ai le malheur d’établir un devis en ligne me harcèle par téléphone ) .

– Internet est basé sur une architecture en étoile, son interêt est de limiter l’interdépendance des différents serveurs. Or, si les serveurs d’openID tombent.. on est mal on est mal

– Le piratage : pour des raisons similaires au point précédent.. si le compte openID est hacké, alors tous les comptes seront hackés.. ce qui concerntre l’interêt des hackers sur ce service, et donc maximise les risques de hack, et les répercussions se feront sur l’identité entière de la personne.

Je suis bien conscient de l’interet que cela représente, surtout pour les néophytes qui veulent pouvoir être reconnus automatiquement, ne pas avoir à se tracasser avec l’authentification, etc.. mais je suis contre la notion "d’identité en ligne" de la personne.

Par : PiTiLeZarD

PiTiLeZarD — Sat, 10 Mar 2007 13:01:33 +0000

Je suis pas bien sur de comprendre les tenants et aboutissants de cette proposition, mais il me semble que ce soit pas donné a n’importe qui … L’openID a ça de bien … on s’inscrit et ça marche ! (enfin je crois j’ai jamais essayé …)

Par : Jerome

Jerome — Fri, 09 Mar 2007 22:40:20 +0000

Une solution au problème de sécurité et de phishing sera peut-être la décentralisation des supports de l'openid.

Si on maitrise le support en se servant de son nom de domaine les risques s'affaiblissent. non?

Par : Cedric

Cedric — Fri, 09 Mar 2007 19:20:32 +0000

> Aysoon : Thomas a répondu à ta question !

(intelligent comme commentaire hein ?

Par : Thomas Bonnin

Thomas Bonnin — Fri, 09 Mar 2007 14:41:39 +0000

C'est vrai que le phishing semble facile à réaliser avec OpenId : il suffit que le site où vous vouliez vous identifier vous redirige vers un "fausse' page qui ressemble trait pour trait à celle de votre fournisseur OpenId réel au lieu de vous rediriger vers celui-ci et il recupère ainsi vos identifiants.
Vu le nombre assez faible pour le moment de fournisseurs OpenId le pirate n'a pas besoin de créer énormément de "fausse" pages.

Par : PiTiLeZarD

PiTiLeZarD — Fri, 09 Mar 2007 13:23:23 +0000

Je trouve que ce système est intéressant mais il faut savoir de quelle manière c'est géré ... Est-ce qu'on indique toute notre vie dans un endroit et on choisis qui a le droit de savoir quoi ? ou est-ce qu'une fois qu'on s'est authentifié avec l'OpenID, le site en question voit toute notre vie ?

Pour l'instant j'en met toujours le moins possible, ou parfois certain site je fais pas confiance j'écris n'importe quoi ... Comment je reproduis ça avec l'OpenID ?

Parce que s'il me suffit de faire un site qui dit "Autentifie toi avec ton OpenID je t'offre une voiture gratuite" et hop j'ai plein de profil gratos ! C'est un peu louche ( a mon avis ils y ont pensé, mais comment j'en sais rien ...)

Bref plutot que de poser 800 questions je vais d'abord aller me renseigner mais le concept a l'air sympa si on trouve une boite a quoi on peut faire confiance (comme dit plus haut mais j'aime bien l'analogie avec la banque ... C'est une banque de donnée finalement ...)

Par : aysoon

aysoon — Fri, 09 Mar 2007 09:15:40 +0000

Tu soulèves un point très intéressant Thomas. Confier à une seule personne/entité la gestion de son identité numérique est une grande preuve de confiance et cette confiance ne doit pas être prêtée à n'importe qui. Le fait que la société VeriSign dont la réputation n'est plus à faire dans la sécurisation d'échange de données sur Internet que cela soit pour l' E-Commerce ou pour tout forme de cryptage de données, se lance (en béta pour l'instant) dans l'OpenID (pip.verisignlabs.com/) laisse penser que l'OpenID intéresse les plus grands et surtout ceux qui sont prêt à proposer des OpenID de manière sécurisée.
On peut évidemment imaginer que lorsque l'OpenID se démocratisera vraiment est deviendra un protocole à usage massif, bon nombre de fournisseurs d'OpenID verront le jour plus ou moins fiables. En revanche, le standard d'authentification 2.0 est encore au stade de l'ébauche et on peut s'attendre à plus de sécurité et à des normes plus dratiques encore.

Qu'est ce que tu vois comem problème Cédric ? Phising maligne ?