Ziki devient fournisseur de service d’authentification avec OpenID

Grande nouveauté chez Ziki : Ziki devient fournisseur OpenID. Voilà un certain temps que je tannais l’équipe de Ziki pour qu’ils adoptent OpenID et c’est maintenant chose faite.

Mais concrètement à quoi ça sert ? C’est très simple :

  1. Vous créez un compte Ziki (pour pouvoir mieux gérer votre présence sur le web) ;
  2. Le service vous fournit un identifiant unique basé sur OpenID (qui ressemble ça : http://my.ziki.com/fredcavazza), cet identifiant va vous servir à vous authentifier sur un certain nombre de sites (Technorati, Wikitravel, LiveJournal, Zooomr, Movable Type…) ;
  3. Lorsque vous vous inscrivez sur un de ces services, on ne vous demande pas de nom d’utilisateur ou de mot de passe, juste votre identifiant unique OpenID ;
  4. Vous êtes alors redirigé sur le site de votre fournisseur d’identifiant OpenID où vous donnez votre accord pour que l’on vous authentifie.

C’est simple, non ? … Non ? Bon OK le mieux est encore que vous testiez par vous-même pour vous rendre compte de l’intérêt de l’authentification unique.

Un commentaire sur “Ziki devient fournisseur de service d’authentification avec OpenID

  1. Fred, Pour moi le soucis d’openID à l’heure actuelle est la confiance que je peux avoir en l’herbergeur. J’aurais d’avantage confiance en des sites comme verisign. Je n’ai rien contre ziki mais on confie qd même son identité.

  2. Attention : en gros, OpenID permet de s’identifier (« je suis « Fred Cavazza », tu te souviens de moi ? », par exemple) et de ne le faire qu’une fois. Par contre, il est difficile de considérer que OpenID permet de s’authentifier (« je suis « Fred Cavazza » et je le prouve », par exemple) à l’heure actuelle. Les rédacteurs des spec. OpenID planchent sur ce sujet, mais en attendant, il faut considérer OpenID comme un moyen commode de ne saisir quelques informations personnelles peu sensibles qu’une seule fois. N’allez pas gérer vos comptes bancaires avec lui pour l’instant !

  3. @ Nicolas > Attention, ce n’est pas ton identité que tu confies, mais plutôt ton authentification. Et comme le précise Benoit, cela ne supprime pas réellement les risques d’usurpation. Pour info, Verisign propose un service similaire : Personal Identity Provide, mais il est beaucoup moins populaire qu’OpenID. /Fred

  4. @Nicolas L’hébergeur peut être toi-même avec ta machine. Cela supprime un risque. Maintenant, je me demande bien ce qui a présidé aux choix de procédure d’openID. En effet, à l’heure des certificats (X509 ou PGP) je ne vois pourquoi un système de PKI n’est pas utilisé. Ce serait bien plus commode bien qu’un tantinet plus complexe pour l’utilisateur. Mais pas plus que pour télépayer sa TVA ou ses impôts sur le revenu. En effet, la procédure OpenID oblige l’utilisateur a aller saisir ses identifiants et authentifiants sur son serveur openId (qu’il soit hébergé ou non) tandis qu’un dialogue s’établit par derrière entre le site openidisé et le serveur openId de l’utilisateur (recherche dans un annuaire). Ok, très bien, cela permet d’utiliser openId quel que soit le poste de travail qu’il nous appartienne ou non. Mais d’un autre côté cela laisse la porte ouverte au phishing et au keylogger et, à moins d’avoir un identifiant et un mot de passe par site openidisé (ce qui revient à ne pas utiliser openid), hameçonner un couple id/mdp c’est le bonheur pour un spammeur (*). Personnellement j’aurai plutôt vu un certificat client que l’on présente au serveur et que ce dernier contrôle grâce au même annuaire distribué (**). Plus compliqué, moins immédiat (il faut importer le certificat et la clé privée associée) mais plus sûr, surtout si lesdits fichiers sont sur une carte à puce. db (*) On peut le changer par la suite, il est vrai. (**) Se faire dérober sa clé privée nécessite de regénérer un certificat (et sa nouvelle clé) puis de révoquer ledit certif. Bref c’est une gestion de PKI standard et c’est donc un tantinet plus lourd que le simple couple id/mdp.

  5. > Fred, La solution de Verisign (PIP) est une solution OpenID. Je l’utilise d’ailleurs comme délégation OpenID pour l’url de mon blog, et cela marche trés bien! C’est d’ailleurs de loin l’implémentation la plus complète. En revanche, je suis en faveur d’une ouverture au delà d’OpenID: pourquoi ne pas permettre aux utilisateurs Yahoo! et Google d’utiliser leurs comptes, alors que c’est techniquement possible ? (Je detaille ici).

  6. > Dominique: la sécurité mise en place pour l’identification doit dépendre du service que l’on veut accéder. Haute sécurité pour payer ses impôts ou pour échanger des mails stratégiques (certificats), faible sécurité (mais peu contraignants) pour des services non confidentiels (OpenID dans sa forme actuelle). Tu n’accepterais pas qu’on te demande ton passeport pour rentrer dans une boulangerie ;-)

  7. Pourquoi je ne suis pas pour prôner des systèmes tel qu’OpenID : Hiérarchie dans la sensibilité des accès, tout est relatif : Qu’est-ce qui est le plus grave : qu’on vous pique vos accès Télédéclaration des impôts, accès à vos compte bancaires OU vos codes d’accès WordPress, Gmail, ..? L’administration fiscale enquêtera, ça va s’arranger, votre banque elle doit suivre la loi qui est du côté du client en terme de fraude électronique. Maintenant êtes-vous sûr que les codes d’accès à votre messagerie/Blog/forum ne soient pas autrement importants voire stratégiques ? La sécurité, c’est avant tout de ne jamais croire qu’on en est assuré. Pourquoi en pas donner/faire perdre l’habitude d’avoir plusieurs mots de passe pour chacun de nos services avec une chimère pourtant bâtie sur le princiep de mettre tous nos oeufs dans le même panier ? Quel gain ou apport réel pour l’utilisateur ? Quel intérêt à court ou long terme pour le fournisseur de service OpenID ? Solutions d’authentification alternatives : – Vérification par un email, mais jamais de vérification unique valable ad vitam pour tous services. – Vérification par un lien, une URL codée – Vérification par un appel, SMS (bientôt probablement) – l’épreuve du demi de blonde + cacahuètes. – … Maintenant je pense juste qu’il faut être autant parano qu’on a à perdre à ne pas l’être. A+

  8. je suis d’accord avec le dernier commentaire, tout centralisé me parait dangereux, y a qu’a voir la faille de sécurité qu’il y avait eut dans netvibes, stocker toute sa vie au meme endroit est une veritable boite de pandore, au lieu de cracher 10 mot de passe pour avoir acces a toute ma vie, grace a open ID il n’y aura plus qu’un verrou… d’ailleurs, quel interet pour le fournisseur d’application, comment peut il quantifier et exploiter les données? (ben oui a la base c’est utile pour un fournisseur d’application…)

  9. openID permet de n’avoir qu’un simple URL à mettre en tant qu’identifiant. Si nous hebergeons nous même notre serveur d’openID, verisign ne saura pas sur quels sites je suis inscrit, quand est ce que je les visite, et ainsi de suite. Le plus gros avantage d’openID pour moi n’est pas tant la flemmardise de mettre plusieurs mots de passe, mais plutôt l’extraordinaire avantage de pouvoir « reserver » son identité, son « pseudo » sur n’importe quel site. En effet, qu’est ce qui vous prouve à vous que je suis bien le Jori d’e-jori.com, là? N’importe qui pourrait mettre mon pseudo et mon site sur ce blog et se faire passer pour moi, tout en incendiant au passage fred. Avec openID, ok, pas de problème, je suis bien le seul détenteur de cet openID. Et c’est un peu pareil si j’ai un ziki ou verisign : ma page ziki est unique (mais je trouve quand même que c’est super beaucoup trop plus moins fiable que de l’heberger nous meme). Pour finir, si il faut un système tres complexe pour s’identifier, ça ne marchera tout simplement pas auprès du grand public. openID se veut simplificateur, pas complicateur. A nous de ne pas perdre nos mots de passe… (et j’avoue que je n’utilise que trois mots de passe différents sur l’ensemble des sites sur lesquels je suis inscrit, une dizaine? Je n’ai malheureusement pas la memoire d’einstein…). :)

  10. > Fred, comment ca il marche plus mon blog ? :-) Je viens de l’utiliser pour me connecter à Jyte.com, et la délégation vers PIP marche bien….

Laisser un commentaire