Yahoo adopte le standard d'identification OpenID

Après quelques jours de rumeurs sur les sites spécialisés, Yahoo vient d'annoncer l'adoption officielle du standard d'identification open source OpenID 2.0 pour l'ensemble de ses 248 millions de comptes utilisateurs (Yahoo mail, Flickr, etc...), triplant d'un seul coup la base OpenID jusqu'à présent limitée à 120 millions de comptes. Accessible dès le 30 janvier prochain à l'adresse me.yahoo.com, ce service devrait permettre aux utilisateurs Yahoo de disposer d'identifiants communs à plusieurs sites utilisant également ce standard d'identification.

Le modèle OpenID repose en effet sur l'utilisation d'informations de connexion communes à plusieurs sites et services Web. L'un d'entre eux joue le rôle de dépositaire de ces données, et assure l'identification de l'utilisateur auprès des sites compatibles avec ce standard. Au lieu de me créer un compte lors de la connexion à un site Web compatible OpenID, je pourrais fournir mes identifiants Yahoo. Le site en question enverra alors une requête vers les serveurs de Yahoo afin de vérifier qui je suis.



Une fois l'identité confirmée, je serais éventuellement invité à accepter le transfert de certaines de mes informations personnelles de Yahoo vers le site, en admettant que celles-ci soient requises pour l'inscription. Pour simplifier, OpenID permet de ne plus utiliser qu'un seul identifiant pour se connecter aux différents sites compatibles, sans qu'il soit nécessaire de renseigner à chaque fois ses informations personnelles.

" Un identifiant Yahoo était déjà particulièrement utile mais le support d'OpenID va renforcer son efficacité en le rendant fonctionnel dans et en dehors du réseau Yahoo, réduisant d'autant le nombre d'identifiants et de mots de passe pour les internautes et offrant un outil simple et efficace pour gérer son identité en ligne ", explique Ash Patel, VP exécutif de la division plate-forme et infrastructures de Yahoo.

Cette adoption massive pourrait permettre à OpenID de s'imposer comme le standard d'identification en ligne, d'autant que le consortium bénéficie également du soutien de Microsoft, de Google ou d'AOL. Ces derniers n'ont toutefois pas encore décidé de généraliser ce système d'identification à l'ensemble de leurs utilisateurs.

L'idée n'est pas bete du tout. Dans le genre passeport numérique on ne fait pas mieux.

Ca fait un .net passport bis ?

je comprends pas bien l'idée d'autant plus que MS, google et aol sont de la partie

Oui ca a l'air très bon, fini l'entrée de l'adresse sur chaque site de vente en ligne et terminé le choix d'un pseudo sur chaque nouveau forum. C'est pas une mauvaise idée, reste plus qu'à d'autres grands noms (msn, amazon, ebay, google...) de s'y mettre et ca peut aller très vite.

Je ne savais pas que ça existait, ça peut avoir un côté pratique. Par contre, Quid de la sécurité? Si on se fait hacker ses coordonnées par quelque procédé que ce soit, c'est l'ensemble des sites utilisant OpenID qui sont touchés, c'est pas comme mettre tous les oeufs dans le même panier?

Surtout que d'un point de vue théorie de la sécurité online, il vaut mieux étager les accès suivant le niveau de confidentialité quitte à demander à l'utilisateur de rentrer des passwords supplémentaires. Là c'est pas un peu l'inverse?
Edité le 18/01/2008 à 13:03

SpiderMec a écrit:
Ca fait un .net passport bis ?

Vi, c'est bien ça

La vrai adoption d'OpenID par Yahoo aurait été d'accéder à son compte Yahoo via un OpenID...

Joie, on s'approche du SSO (single sign on = une seule authentification), le point critique va être d'assurer l'authentification initiale.

Reste effectivement comme cité plus haut que les exigences ne sont pas les même en terme de password: sur un forum on peut se permettre de mettre un mot de passe faible alors que sur un site marchand avec stockage de carte bleu (genre amazon) on va plutôt blinder le mot de passe.

De toute façon, il est nécessaire que l'utilisateur prenne conscience de l'importance du mot de passe ET de la sensibilité des informations qu'il peut transmettre.

Le SSO ne marche que si les partenaires jouent le jeu, utilisateur inclus.

Je pense comme chanyuth ...

Pas pour moi, rien de mieux pour recolter tres facilement les informations de navigations des utilisateurs, et de les vendre au plus offrant.

Prefère m'inscrire a chaque fois sur un site.

On a plutôt intérêt à blinder méchamment les mots de passe, sans ça gare aux mauvaises surprises.

y a quelques gros sites qui utilisent OpenID malheureusement je ne vais sur aucun de ceux là
j'ai réservé mon pseudo au cas où ça se développe un jour

Cogema a écrit:
Pas pour moi, rien de mieux pour recolter tres facilement les informations de navigations des utilisateurs, et de les vendre au plus offrant.

Prefère m'inscrire a chaque fois sur un site.

c'est un point de vue qui se défend, mais faut remettre l'intérêt du SSO dans son contexte: à la base accéder à des applications ou des sites sans avoir à s'authentifier X fois, à gérer de multiples mots de passe et devoir à chaque fois modifier le mot de passe sur chaque site, le SSO permet d'avoir UN couple identifiant / validant valable sur plusieurs sites / applications.

Maintenant il vaut mieux effectivement restreindre l'OpenID à quelques sites et de préférence exigeant le même niveau de sécurité; c'est sûr que si c'est l'occasion pour spammer l'utilisateur de pub ciblées, ça va pas le faire :(

La fédération des mot de passe n'augmente t'elle pas les risques de tentatives de pfishing?

Pour moi oui, mais bon...

Open = piratage a porté de tous ? C'est risqué non ?

pkmwt a écrit:
Open = piratage a porté de tous ? C'est risqué non ?

Bah non :neutre: Kerberos est un protocole ouvert, pourtant il est méchamment sécurisé...

pkmwt a écrit:
Open = piratage a porté de tous ?

Qu'est ce qui te fait croire ça ? :heink:

Et un moyen de plus pour récupérer les informations personnelles de l'utilisateur et de suivre ses tendances internet... La revente d'infos concernant les sites fréquentés par Mr X va vite pointer le bout de son nez.

Ce qui m'étonne, c'est que Microsoft soutienne l'OpenID, car non seulement ils avaient déjà leur ".Net Passport", mais ils avaient aussi récemment créé Windows CardSpace (une des nouvelles briques apportées par .NET 3.0), et qui est intégré à Windows Vista.

A moins qu'ils souhaitent rendre compatible CardSpace et OpenID ?

Si quelqu'un a des infos...

Ca fait du bien un topic où on plussoye un peu tout le monde :)