BrowserID : Mozilla dévoile une alternative aux services d'authentification centralisée

[Idelways]

BrowserID : Mozilla dévoile une alternative aux services d'authentification centralisée
Fondée sur le « Verified Email Protocol »



Permettre aux utilisateurs de s'identifier aux différents sites sans mot de passe spécifique et sans passer par les services d'authentification centralisée (comme Facebook ou OpenID), telle est l'ambition de « BrowserID », une nouvelle expérimentation de la fondation Mozilla.

Fondé sur le nouveau protocole « Verified Email Protocol », BrowserID utilise une clé de chiffrement publique pour prouver très rapidement que l'utilisateur est bien le propriétaire de l'adresse email qu'il souhaite utiliser auprès des sites.

Deux clics suffiront donc pour clôturer l'opération, mais dans les coulisses, le site et le navigateur font appel à un service d'authentification.

Comme preuve de faisabilité, la fondation Mozilla a créé un site de test et son propre service BrowserID (browserid.com), mais étant basé sur un protocole libre, le principal atout de ce concept est qu'il peut être implémenté par n'importe quel fournisseur de compte email.

« Confier l'identification et la gestion de l'identité [de son site] aux grands services comme Facebook, Twitter ou Google est une option, mais ces produits ont leurs propres problèmes de verrouillage [lock-in] et de fiabilité, et soulèvent des inquiétudes sur la confidentialité des données », justifie Mozilla.

Pour utiliser BrowserID, l'utilisateur doit fournir un mot de passe et une adresse email, et confirmer cette dernière de manière classique, en cliquant sur le lien de confirmation ou en saisissant le code reçu sur sa boîte.

Le service crée dès lors un couple de clés de chiffrement, il utilise la clé publique et enregistre la clé privée au niveau du navigateur.

Quand l'utilisateur tente de s'identifier à un site qui implémente le protocole, l'utilisateur peut choisir l'adresse email qu'il souhaite utiliser pour ce site (s'il en a plusieurs reliées à BrowserID) et le voilà vite et bien identifié.

Présentation de BrowserID

Présentation de BrowserID

Il reste donc à convaincre les fournisseurs d'email à adopter indépendamment ce système afin de rendre toute création de compte BrowserID inutile et éviter la centralisation du concept comme c'est le cas pour d'OpenID.

En parlant de ce service qui utilise un protocole basé sur les Tokens, déclare la fondation : « ce que des années d'expérience avec OpenID (et des protocoles similaires) nous ont appris est que ce n'est pas une solution suffisante : établir un Token d'identification isolé du reste du Web, n'aide pas réellement les sites à s'engager avec leurs utilisateurs ».



Documentation pour implémenter BrowserID sur son site

Source : Mozilla

Et vous ?

Que pensez-vous de ce nouveau concept ?
L'adopteriez-vous pour vos sites quand il sortira en version stable ?
Quelles solutions d'identification préférez-vous ?

[kdmbella]

Que pensez-vous de ce nouveau concept ?
c'est un très concept très intéressant
L'adopteriez-vous pour vos sites quand il sortira en version stable ?
pas tout de suite je préfère en général lorsqu'une technologie nouvel apparait la laisser être éprouvé pendant 1 à 2 ans le temps qu'elle soit mature avant de l'adopter
Quelles solutions d'identification préférez-vous ?
pour l'instant la solution open ID a fait ses preuves mais si lcette solution de Mozilla s'avère plus robuste je pense que je migrerait rapidement vers elles a condition que les géants du web l'adopte également

mais c'est déja du super travail

[nazoreen]

Je l'adopterais sans hésiter quand... il y aura une solution pour sécuriser un peu plus !

Je parle du fait qu'apparemment si les cookies ne sont pas effacés, alors une personne peut utiliser notre identifiant sans problème...

Il est donc nécessaire de trouver une solution tout de suite à ce problème de sécurité sans quoi ce petit projet très sympa restera dans les cartons.

[Firwen]

Le système semble assez ingénieux, merci mozilla



A première vue,
Il permet trois choses vraiment intéressante:
- d’éviter le gros problème d'openID/OAuth : Un phishing qui conpromez l'intégralité de vos comptes en une fois en volant votre mot de pass dans un popup.
- d'éviter le détournement de DNS ( problème récurrent à OpenID/OAuth )
- Aucune transmission de password sur le réseau à aucun moment,à aucune entité. Donc pas de données compromise si le serveur OpenID est corrompu/piraté.

Par contre, Tout est dans le browser, en cas de changement de PC/device, si on se trimbale pas son certificat avec soit, c'est vraiment pas pratique :s

[Firwen]

Citation:

Je l'adopterais sans hésiter quand... il y aura une solution pour sécuriser un peu plus !

Je parle du fait qu'apparemment si les cookies ne sont pas effacés, alors une personne peut utiliser notre identifiant sans problème...

Il est donc nécessaire de trouver une solution tout de suite à ce problème de sécurité sans quoi ce petit projet très sympa restera dans les cartons.

Tu as un lien vers ce probleme ?

[rocel]

Citation:

Envoyé par Firwen

Tu as un lien vers ce probleme ?

il a raison, il suffi de tester, meme si on se deconnect, il est toujours possible de se reconnecter en 1 click .... sans demande de mot de passe ( donc si ce n'est pas toi ...)

je sais pas si j'ai pas vraiment compris le principe, parce que je vois pas trop où le concept est prouvé dans ce proof of concept.
j'ai cependant peut être manqué un truc.

[nazoreen]

Citation:

Envoyé par Firwen

Tu as un lien vers ce probleme ?

Comme Rocel l'a dit il suffit de tester.

Avec Firefox : Je me suis connecté une fois, puis reconnecté (donc plus besoin du mot de passe)

Avec Chrome : Je tente de me connecter et le système me demande le mot de passe, donc ce n'est pas sur l'IP qu'est mémorisé l'identifiant.

Avec Firefox : je ferme sans supprimer les cookies, j'ouvre et je retente, ça ne demande pas de mot de passe.

Avec Firefox : je supprime les cookies, je tente de me reconnecter et ça demande un mot de passe.

Donc le système utilise clairement les cookies selon moi.

L'idée est bonne mais manque singulièrement de sécurité.

Je pense qu'il faudrait le coupler à une clé USB qui aurait un certificat, mais là l'identifiant pourrait ne plus servir à rien sauf le choix peut-être...

[Firwen]

Citation:

Par contre, Tout est dans le browser, en cas de changement de PC/device, si on se trimbale pas son certificat avec soit, c'est vraiment pas pratique :s

Autant pour moi défaut de compréhension de ma part, le premier schéma fait à la main n'étant pas des plus explicite :p.

Oui en effet, la session est maintenue via un cookie, qui se voit trés bien sous firebug d'ailleurs.
Mais la durée de validité de la session semble configurable dans la norme et le cookie est envoyé uniquement via https au primary browserid,
alors est-ce réellement un problème ?

[nazoreen]

Citation:

Envoyé par Firwen

Mais la durée de validité de la session semble configurable dans la norme et le cookie est envoyé uniquement via https au primary browserid,
alors est-ce réellement un problème ?

Bien je pense que oui, un hacker (pas besoin d'être très bon) peut certainement spoofer tout ça...

Moi je ne fais jamais confiance aux cookies et autres subtilités côté client, ça donne trop d'incertitude sur la sécurité.

[ulspider]

Pour le moment j'utilise PassPack, ça réponds à mes attentes

[Julien Bodin]

Le fait qu'on soit bloqué sur sa machine est rédhibitoire pour moi. Si j'ai un webmail c'est pour pouvoir consulter mes mails depuis n'importe quelle machine.

[Firwen]

C'était une mauvaise compréhension de ma part d'un schéma de spec ( ).

C'est tout à fait possible de s'authentifier sur plusieurs machine avec juste un password.

[firebird_dev]

Autre solution https://addons.mozilla.org/fr/firefo...ssword-hasher/

[tralloc]

@Julien Bodin
J'imagine qu'avec firefox sync on sera moins lié à SA machine.


Par contre à mon sens le problème viens si on est dans un cybercafé, une machine partagée...