Une actu récente pas directement liée à OpenID mais qui explique en partie pourquoi un système d'identification unique est pertinent:
http://www.sitepoint.com/blogs/2009/02/11/passwords-most-people-do-it-wrong/
http://www.sitepoint.com/blogs/2009/02/11/passwords-most-people-do-it-wrong/
Florent V. a écrit :
Une actu récente pas directement liée à OpenID mais qui explique en partie pourquoi un système d'identification unique est pertinent:
http://www.sitepoint.com/blogs/2009/02/11/passwords-most-people-do-it-wrong/
Intéressant article sur la problématique du mot de passe unique en effet.
En résumé si vous utilisez des mots de passes balèzes et différents pour vos différents comptes alors un mot de passe unique est une menace de sécurité pour vous. Par contre si vous utilisez quasiment tout le temps le même mot de passe bidon alors quand vous passerez au mot de passe unique prenez le temps d'en choisir un plus solide et vous gagnerez en sécurité.
Étant donné que la majorité de la population est dans ce second cas on peut dire qu'à une large majorité un système de mot de passe unique sera un gain de sécurité.
Si quelqu'un à une opinion sur OpenID je suis toujours à l'écoute. Par exemple en lien avec l'autre fil de la journée que pensez-vous du fait que OpenID ne soit pas en XML ? Que pensez-vous de DIAS ?
dew a écrit :
En même temps (si j'ai bien tout suivi dans cet article) si quelqu'un "devine" ton mot de passe OpenID et que celui-ci ouvre l'accès à de multiples sites/services, tu l'as multiplement dans le colon.
Oui, mais ce que rappelle l'article c'est que la grande majorité des utilisateurs a DÉJÀ un seul et unique mot de passe. Passer par un système unique permettrait de choisir un mot de passe un peu plus fort, et de le changer à l'occasion. Actuellement, tous les utilisateurs qui ont un mot de passe unique peuvent difficilement changer ce mot de passe unique car il faudrait le modifier sur tous les sites et services utilisés.
(Pour ma part j'utilise un gestionnaire de mots de passe, et aurais donc tendance à réserver OpenID pour des choses peu sensibles, comme l'identification sur des blogs ou sites de news. Mais je suis un super-über-power-user -- comme vous tous.)
Pour OpenID lui-même je n'ai pas d'avis technique. En tant qu'utilisateur je trouve que les services OpenID existant ont une ergonomie pas toujours terrible, et sont trop orientés «power user» (il faut créer une «persona» ou «identité», on est incité à créer une page profil...). Facebook Connect me semble un peu mieux armé pour remporter l'adhésion des utilisateurs.
Je dirais qu'il y a trois grands défis à relever pour populariser OpenID:
1. Utilisation par les sites web.
2. Fournisseurs OpenID. Il y en a quelques uns, mais peu visible des non-geeks. De plus, le fait qu'il y ait plusieurs fournisseurs est à la fois une garantie et un problème, vu que les utilisateurs sont plus réceptifs à la logique de «site» (MySpace, Facebook...) qu'à la logique «technologie» (techno machin, disponible sur site1, site2, site3, site4, site5, site6...).
3. Interfaces utilisateur, ergonomie, clarté et simplicité des processus, etc.
Aucun de ces défis n'est bien parti à l'heure actuelle. Donc je ne suis clairement pas confiant.
Modifié par Florent V. (15 Feb 2009 - 00:57)
Florent V. a écrit :
Je dirais qu'il y a trois grands défis à relever pour populariser OpenID:
1. Utilisation par les sites web.
2. Fournisseurs OpenID. Il y en a quelques uns, mais peu visible des non-geeks. De plus, le fait qu'il y ait plusieurs fournisseurs est à la fois une garantie et un problème, vu que les utilisateurs sont plus réceptifs à la logique de «site» (MySpace, Facebook...) qu'à la logique «technologie» (techno machin, disponible sur site1, site2, site3, site4, site5, site6...).
3. Interfaces utilisateur, ergonomie, clarté et simplicité des processus, etc.
Aucun de ces défis n'est bien parti à l'heure actuelle. Donc je ne suis clairement pas confiant.
1. Oui ça c'est un vrai problème. Je dirais que les specs ne sont pas particulièrement bien écrites et que ça n'aide pas.
2. Ça par contre: "Organizations like AOL, BBC, Google, IBM, Microsoft, MySpace, Orange, PayPal, VeriSign, Yandex, Ustream and Yahoo! act as providers.", source: OpenID - Wikipedia.
3. Oui j'avais eu la même impression quand j'avais testé.
Changaco a écrit :
2. Ça par contre: "Organizations like AOL, BBC, Google, IBM, Microsoft, MySpace, Orange, PayPal, VeriSign, Yandex, Ustream and Yahoo! act as providers.", source: OpenID - Wikipedia.
Oui, mais 1) mal mis en avant (quel pourcentage d'abonnés Orange sont au courant? 0,2%?), 2) parfois limité à «fournisseur OpenID mais uniquement pour nos propres services», 3) reste aussi le problème de la visibilité avec des fournisseurs multiples.