Je réagis un peu tardivement à une nouvelle qui n’a bizarrement pas fait beaucoup de bruit dans la blogosphère française : Des représentant de Google, IBM, Microsoft, Yahoo et VeriSign viennent de rejoindre la board de la Fondation OpenID (Evolving the OpenID Foundation Board).
Cette nouvelle marque un tournant décisif dans… dans quoi déjà ? Je pense que le moment est bien choisi pour quelques lignes d’explications (adaptées de la définition officielle et de celle de Wikipedia) :
- OpenID est un système d’authentification décentralisé qui permet l’authentification unique ;
- Authentification unique = 1 seul identifiant que l’on peut utiliser auprès de plusieurs sites et services en ligne (qui sont “compatibles” OpenID) ;
- Cet identifiant unique est obtenu auprès de fournisseurs d’identité (OpenID providers) ;
- Lorsque vous vous inscrivez à un service compatible, vous esquivez le long formulaire d’inscription en saisissant votre identifiant OpenID (le service demande alors à votre fournisseur d’identité de vous authentifier, ce dernier vous répercute la demande) ;
- OpenID ne gère QUE l’authentification, pas l’identité (donc vous devrez quand même renseigner votre profil).
Si vous souhaitez en savoir plus, je vous recommande ce blog : Spread OpenID, ainsi que cet article qui commente l’annonce de Yahoo! qui est devenu fournisseur d’identité : Yahoo! to Provide OpenID – Will It Take the Next Step?.
Jusqu’à présent les problématiques d’authentification n’avaient pas passionnées grand monde car jusqu’à présent les utilisateurs compensaient en faisant un effort de mémorisation des login / mots de passe, mais combien de temps cela allait-il durer ? Hé bien maintenant la question ne se pose plus dans la mesure où potentiellement les poids lourds du web (Google, Yahoo, Microsoft) vont devenir des fournisseurs d’identité.
Concrètement vous pourrez bientôt vous inscrire à un service lambda en vous servant de votre identifiant Yahoo!, Google ou Microsoft. “Pourrez” car ce n’est pas encore effectif, seul Yahoo! propose ce service : openid.yahoo.com.
Très intéressant, surtout lorsque l’on sait que ces trois poids lourds comptent leurs utilisateurs par centaines de millions. Ceci devrait donc grandement faciliter l’adoption de nouveaux services par les internautes qui seraient ainsi exempts de “corvée de mot de passe“.
Mais avec un peu de recul, on se rend également compte que ceci permettrait également d’évaluer l’appétence des internautes vis à vis d’un nouveau service en surveillant les demandes d’authentification. Et oui ! Puisque c’est Yahoo! / Google / Microsoft qui gèreront vos inscriptions aux différents services, il sera alors beaucoup plus simple pour eux d’identifier le ou les services qui fidéliseront le mieux leurs utilisateurs. Ils ne leur resteront plus qu’à faire leur marché en négociant les prix à la baisse (“c’est grâce à moi que vous avez pu recruter une partie de vos utilisateurs“).
Redoutable ? Oui tout à fait !
Mais rassurez-vous, il n’y a pas que du mauvais dans cette annonce puisque deux autres acteurs de choix ont rejoint l’aventure :
- VeriSign, leader du marché de la sécurité par authentification forte (des mécanismes plus sophistiqués qu’OpenID) mais qui était déjà utilisateur via son Personal Identity Provider ;
- IBM, très gros acteur de l’entreprise 2.0 et des formats ouverts.
Difficile pour le moment d’évaluer l’impact de cette nouvelle sur le rythme d’adoption d’OpenID par le grand public. Toujours est-il que je vous engage à créer dès maintenant votre identifiant unique en utilisant par exemple MyOpenID, un acteur indépendant qui propose des services sympas comme la création d’une page publique (ex. http://fredcavazza.myopenid.com/) ou le support de MicroID.
Pour celles et ceux que l’anglais rebute, je recommande ce lien http://www.openidfrance.fr/ . Je n’étais pas assez patient lorsque j’ai reçu mon mail d’inscription. L’équipe derrière est méga réactive.
Mes premiers pas avec OpenID ont été pur twitteriser mon blog avec twitterfeed.
Je me suis créé mon Open ID il y a 2 semaines parce que l’idée me semble sympa.
Un des problèmes est le nombre de logins possibles. Si quelqu’un avait pris “fredcavazza”, tu serais bien embêté. Il faut comme d’habitude être le premier pour avoir son pseudo. Et même si tu es très rapide, il se peut que ton pseudo aie déjà été pris par quelqu’un… à son propre insu! Par exemple, si quelqu’un avait un blog à l’adresse “fredcavazza.wordpress.com”, il aurait automatiquement reçu l’OpenID “fredcavazza” (c’est expliqué ici: http://openid.net/get/). Donc, de fait, des centaines de milliers de logins sont déjà pris.
Un autre problème, c’est qu’on transforme toutes nos clés en une seule. Donc si on perd cette clé, on est mal barré. Ou pire: cette “clé” tombe dans de mauvaises mains. Je dis ça parce que ça m’est arrivé. J’ai créé mon compte il y a 2 semaines, ok, mais voilà, je l’ai jamais utilisé, et je n’arrive plus à me rappeler de mon mot de passe (j’ai l’habitude d’en utiliser des différents pour éviter qu’en trouvant mon mot de passe on puisse accéder à tous mes comptes). Résultat: c’est le ClosedID pour moi.
@bbx
C’est un faux problème. N’importe quelle page web peut servir d’open ID grâce à un système de delegate[1]. Donc Fred devrait assez naturellement se servir de http://fredcavazza.net comme url openID, il suffit de rajouter 2 lignes dans les entête de la page.
@Fred
>OpenID ne gère QUE l’authentification, pas l’identité (donc vous devrez quand même renseigner votre profil).
Il existe des extensions de la spec[2] qui gèrent l’échange d’information relative au profil.
[1]http://www.biologeek.com/journal/index.php/comment-utiliser-openid-la-solution-d-identification-tant-attendue
[2]http://openid.net/developers/specs/
Les anciens avaient un proverbe pour ce genre de choses : “ne pas mettre tous ses oeufs dans le même panier.” Quand je pense aux récupérations commerciales possibles par les sociétés citées dans l’article, je crois que je vais continuer mes efforts de mémorisation, Mr Kawashima sera fier de moi… ;-)
Pas de gestion d’identité ? Pourtant MyOpenID propose une gestion des personas ce qui fait que je choisis quelle identité je communique et à quel service. Demain je publie un article à ce sujet justement.
@bbx : ton histoire de CloseID est un faux problème : tu ne te souviens pas de ton compte OpenID et quid de tes n-login/mot de passe ?
OpenID N’EST PAS une certification d’identité. C’est le boulot de MyID.is par exemple. Là encore ce problème existe déjà avec les login/mot de passe.
Le problème c’est que toutes ces compagnies veulent fournir la clef unique openid mais n’accepte pas celle des autres !! Donc ils adhérent qu’à moitié au concept ce qui fait tout capoté :(
La notion de profil existe aussi dan openId, des informations de profil peuvent être partagées avec une notion de privacy (j’autorise qui à accés à quelle donnée)
Le mieux est d’utiliser son nom de domaine pour un contrôle total. Fred pourrait par exemple utiliser le plugin dotclear : http://dev.pivwan.net/post/2007/01/22/OpenID-Delegate
@Traxx Frédéric ne peut pas utiliser le plugin DotClear puisqu’il n’est plus sous DotClear ;-) mais il y a l’équivalent pour WordPress :
* pour déléguer : http://wordpress.org/extend/plugins/yadis/
* pour commenter : http://wordpress.org/extend/plugins/openid/
Sinon en france Orange propose aussi de l’openid :)
http://openid.orange.fr
L’année dernière j’avais associé OpenID à Ziki (provider OpenID) et plus de news !?
Je vous remercie pour vos précisions sur le “sigle sign-on” qui est un vieux problème en système informatique. A l’époque de Gemplus, j’ai eu la chance de travailler en R&D avec leur Labs pour éditer une solution d’authentification forte à base de carte à puce(smartcard).Cela permettait de stocker les différents id/password et d’identifier un collaborateur de façon unique. Aucune smartcard solution n’a réellement percée (hors secteur bancaire) et Bill a gagné la bataille avec son “Active Directory”. Bill n’a pourtant pas reussi a imposer son compte Passport qui ressemble bien au sujet évoqué !
La sécurité d’accès logique ne semble nous intéresser que lorsque l’on touche à notre portefeuille (carte bancaire)
Pas si sûr !
Google a tout intérêt à épiloguer sur son succés et en créant du bug positif car il sait trés bien le faire tout en restant discret. Pourtant le buzz négatif est aussi important que son buzz positif.
Et puis, il n’y a pas qu’OpenID comme systéme de fédération des identités. Même si c’est google qui tient le succés actuellement.
J’ai beaucoup à dire sur Google et OpenID et je réserve un dossier spécial sur mon prochain site.
Un mouvement “alternatif et underground” va faire son apparition en fin mars : http://www.nodotname.com
Patience…il va me falloir encore beaucoup de temps pour tout mettre en place. Je recherche des intervenants et plus si affinités. ;-)
Bonjour beaucoup, il n’y a pas longtemps que j’utilise l’ordinateur mais sur votre ligne il y a plusieures informations interressantes que je ne peux pas lire soit disant que je ne suis pas abonne sur cette ligne ou site si vous voulez, alors que puis je faire pour etre a mesure de lire ces differentes informations? Si ce n’est pas vous deranger, veuillez m’informer a partir de mon e-mail ci-haut cite. Je vous en remercie d’avance.