IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Conception Web Discussion :

Mozilla lance la bêta de Persona


Sujet :

Conception Web

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut Mozilla lance la bêta de Persona
    Mozilla lance la bêta de Persona
    son système d’authentification centralisée pour le Web, qui met fin aux identifiants et mots de passe


    Mozilla vient de lancer la version beta de « Persona », son nouveau système d’authentification pour le Web.

    Persona est un moyen d’identification qui élimine les identifiants et mots de passe sur les sites Web, tout en étant sécurisé et facile à utiliser.

    Le but du projet est de permettre aux utilisateurs de s’identifier sur différents sites sans mot de passe spécifique et sans avoir recours à des services d’authentification centralisée comme Facebook ou OpenID, et aux sites Web de ne plus s’inquiéter sur la sécurité des mots de passe.

    Persona a été lancé il y a près d’un an comme un projet expérimental sous le nom de BrowserID. Le système est fondé sur le nouveau protocole « Verified Email Protocol » et utilise une clé de chiffrement publique pour prouver très rapidement que l'utilisateur est bien le propriétaire de l'adresse email qu'il souhaite utiliser auprès des sites.

    Actuellement, les personnes désirant utiliser le système doivent au préalable créer un compte sur le site persona.org, définir un mot de passe ainsi qu’une ou plusieurs adresses mails qui seront rattachées au compte. Chaque adresse mail est vérifiée en envoyant un mail de confirmation vers celle-ci. Pour l'avenir, le but est que chaque fournisseur mail deviennent le garant : c'est lui qui devra attester que cette adresse est bien la votre. Il ne sera alors plus nécessaire de s'inscrire sur persona.org.

    Le service crée dès lors un couple de clés de chiffrement. Il utilise la clé publique et enregistre la clé privée au niveau du navigateur.

    Des détails sur le fonctionnement du protocole sont accessibles ici.

    Après ces étapes, deux clics suffiront à un utilisateur pour s’identifier sur un site qui implémente le protocole. L'utilisateur peut choisir l'adresse email qu'il souhaite utiliser pour ce site (s'il en a plusieurs reliées à Persona) et le voilà vite et bien identifié.

    Persona est encore au stade de préversion, mais la fondation Mozilla estime qu’il est déjà prêt à être utilisé pour l’authentification. Le système fonctionne sur les smartphones, tablettes et navigateurs. Il ne reste plus aux sites Web qu'à l’adopter.

    Pour l’instant, le système présente encore un inconvénient majeur. En centralisant l’authentification, si le mot de passe Persona d’un utilisateur est volé, il pourra être utilisé pour usurper son identité sur l’ensemble des sites implémentant le protocole.

    Pour palier à cela, la fondation Mozilla compte intégrer dans les prochaines bêtas, l’authentification à deux facteurs.

    Le projet Persona est entièrement open source et le code du service est publié sur Github.

    Persona sur GitHub


    Source : Mozilla


    Et vous ?

    Qu'en pensez-vous ? Adopteriez-vous Persona pour vos sites ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Modérateur
    Avatar de Flaburgan
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2010
    Messages
    1 229
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Avril 2010
    Messages : 1 229
    Points : 3 579
    Points
    3 579
    Par défaut
    Je l'utilise sur plusieurs de mes sites, c'est vraiment un bonheur !!
    "Historiquement, techniquement, économiquement et moralement, Internet ne peut pas être contrôlé. Autant s’y faire." Laurent Chemla

    Je soutiens Diaspora*, le réseau social libre.

    Veillez à porter une attention toute particulière à l'orthographe...

    Blog collaboratif avec des amis : http://geexxx.fr

    Mon avatar a été fait par chiqitos, merci à lui !

  3. #3
    Membre éclairé
    Profil pro
    Ingénieur sécurité
    Inscrit en
    Février 2007
    Messages
    574
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : Industrie

    Informations forums :
    Inscription : Février 2007
    Messages : 574
    Points : 751
    Points
    751
    Par défaut
    Je trouve que c'est une super avancee et j'espere que ce sera implemete par les sites majeurs.
    Je me posais des questions sur la securite de la solution, notamment sur la multiplication des cles privees sur des ordinateurs publics. Il s'avere que les cles sont gardes en local storage avec une duree de vie tres courte (1h) et non dans le keystore de l'OS. Supprimer les cookies (qui supprime aussi le storage local) suffit a supprimer du meme coup les cles. Se deconnecter de persona suffit egalement. Ceci evite aussi l'utilisation frauduleuse des cles dans le cas de XSS, car grace la SOP, il faudrait que le script soit localise sur https://login.persona.org/ pour acceder au local storage et donc aux cles. Au passage je suis tombe sur ce lien (dernier post) qui eclaircit bien les questions de securite.
    Ca evite aussi aux sites de conserver des db de mots de passes, et ca c'est vraiment un tres gros points positifs.
    L'aspect respect de la vie privee me plait beaucoup egalement.

    Pour ceux que ca interesse, une description du protocole est disponible ici (anglais).

    Aux devs de developpez.com, une authentification basee sur persona serait la bienvenue. En plus fournir un retour sur l'implementation serait interessant (Flaburgan si tu as le temps...).

  4. #4
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juillet 2005
    Messages
    541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2005
    Messages : 541
    Points : 1 898
    Points
    1 898
    Par défaut
    Citation Envoyé par Hinault Romaric Voir le message
    Qu'en pensez-vous ? Adopteriez-vous Persona pour vos sites ?
    Non, je vois pas pourquoi je devrais avoir plus confiance en Persona qu'en Facebook ou en OpenID.
    Ce n'est qu'un système de plus qui va forcer les utilisateurs à s'enregistrer à un service qu'ils ne veulent pas forcement pour pouvoir accéder au site.
    If it's free, you are not the customer, you are the product.

  5. #5
    Membre éclairé
    Profil pro
    Ingénieur sécurité
    Inscrit en
    Février 2007
    Messages
    574
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : Industrie

    Informations forums :
    Inscription : Février 2007
    Messages : 574
    Points : 751
    Points
    751
    Par défaut
    Citation Envoyé par Neko Voir le message
    Non, je vois pas pourquoi je devrais avoir plus confiance en Persona qu'en Facebook ou en OpenID.
    Ce n'est qu'un système de plus qui va forcer les utilisateurs à s'enregistrer à un service qu'ils ne veulent pas forcement pour pouvoir accéder au site.
    Non, ce n'est pas comme ca que ca marche. Pour l'instant c'est implemete comme ca pour la demonstration via persona.org. A terme, le but c'est que ton provider mail implemente Persona, afin que justement tu ne depende pas d'un service tier.
    Si tu veux savoir comment ca marche, tu peux lire le lien presente dans mon poste precedent.

    L'idee globale c'est que tout le monde dispose d'une adresse mail. Donc faisons confiance au provider mail pour garantir l'identite (en utilisant de la crypto). Mais la difference avec Facebook, ..., c'est que Persona est un protocole, donc que tu sois chez Hotmail, Gmail, Yahoo, ... ca ne change rien. Du coup tu ne forces en rien l'utilisateur a s'enregistrer aupres d'un service tier.

  6. #6
    Modérateur
    Avatar de Flaburgan
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2010
    Messages
    1 229
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Avril 2010
    Messages : 1 229
    Points : 3 579
    Points
    3 579
    Par défaut
    @datah : j'ai déjà écrit un article sur le blog de Mozilla ;-)

    Tu trouveras des exemples d'implémentation un peu partout. Je te conseille pour être sûr d'avoir une source juste de te baser sur le Mozilla Developer Network (Où tu peux te connecter en utilisant Persona )

    Voici un exemple d'implémentation.
    "Historiquement, techniquement, économiquement et moralement, Internet ne peut pas être contrôlé. Autant s’y faire." Laurent Chemla

    Je soutiens Diaspora*, le réseau social libre.

    Veillez à porter une attention toute particulière à l'orthographe...

    Blog collaboratif avec des amis : http://geexxx.fr

    Mon avatar a été fait par chiqitos, merci à lui !

  7. #7
    Membre à l'essai
    Profil pro
    Développeur informatique
    Inscrit en
    Août 2009
    Messages
    9
    Détails du profil
    Informations personnelles :
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Août 2009
    Messages : 9
    Points : 10
    Points
    10
    Par défaut
    le but c'est que ton provider mail implemente Persona, afin que justement tu ne depende pas d'un service tier.
    Sauf si tu es ton propre "provider mail", tu dépends forcément d'un service tiers : ce même provider mail justement.
    Et le jour où, puisque c'est cette adresse e-mail qui te sers pour tous tes accès, ce même provider te dit "maintenant : c'est payant" !!?

    Mais la difference avec Facebook, ..., c'est que Persona est un protocole, donc que tu sois chez Hotmail, Gmail, Yahoo, ... ca ne change rien. Du coup tu ne forces en rien l'utilisateur a s'enregistrer aupres d'un service tier.
    Et pour que ton adresse serve pour plusieurs comptes, il faut bien que ton adresse et les clés soit stockée en base de données quelque part !?
    Donc tu dépends forcément du propriétaire de cette base de donnée.

    Et si pas de mot de passe mais juste une adresse e-mail : quid sur un ordinateur partagé !??
    Tes gosses vont accéder à ton compte bancaire ? Vive Noël !!
    Et même avec l’authentification à deux facteurs (SMS je suppose), tu te fait cambrioler ton appartement : ordinateur et téléphone (ce qui n'arrive mais alors jamais...) et là Youpi, le jackpot pour les cambrioleurs.
    Et il ne faut pas croire, mais il y en a pour qui c'est un métier de trouver les moyens de te "niquer" : il suffit de voir déjà avec le phishing comme ça marche bien.
    Et plus tu simplifie les choses, plus ça les arrangent.

    Et même au delà de ça, il existe un adage qui prévaut depuis des lustres : "Ne jamais mettre tous ses œufs dans le même panier".
    Et c'est encore plus vrai en ce qui concerne la sécurité.

  8. #8
    Modérateur
    Avatar de Flaburgan
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2010
    Messages
    1 229
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Avril 2010
    Messages : 1 229
    Points : 3 579
    Points
    3 579
    Par défaut
    Citation Envoyé par pcdata Voir le message
    Sauf si tu es ton propre "provider mail", tu dépends forcément d'un service tiers : ce même provider mail justement.
    Et le jour où, puisque c'est cette adresse e-mail qui te sers pour tous tes accès, ce même provider te dit "maintenant : c'est payant" !!?
    L'idée de base, c'est que sur le Web, notre identité, c'est souvent notre adresse mail. On a notre adresse perso pour nos échanges perso, notre adresse pro pour nos échanges pro, notre adresse spam pour les sites de ce genre, etc.

    Quand on arrive sur un site qui permet la connexion avec persona, on choisi avec quel e-mail on va s'y connecter. On choisi donc son identité : suis-je ici personnellement ou professionnellement ?

    Si on doit quitter une adresse mail pour une raison ou une autre, la migration est généralement pénible, et ce, sans aucun rapport avec persona. Il faudra retrouver tous les sites où tu es inscrit avec cette adresse et changer l'adresse. C'est ici un problème de migration d'email, je ne vois pas le problème que pourrait ajouter Persona.


    Citation Envoyé par pcdata Voir le message
    Et pour que ton adresse serve pour plusieurs comptes, il faut bien que ton adresse et les clés soit stockée en base de données quelque part !?
    Donc tu dépends forcément du propriétaire de cette base de donnée.
    Le site sur lequel tu te connectes garde en effet ton e-mail dans sa base, mais plus de mot de passe, l'authentification étant gérée par Persona. Donc la sécurité est accrue pour l'utilisateur, l'e-mail n'étant en général pas une information confidentielle. Plus besoin de se soucier de si le site chiffre bien son mot de passe, ne l'enregistre pas pour son usage personnel en essayant de retrouver d'autres sites où le visiteur aurait pu s'inscrire avec le même couple e-mail / mot de passe. Au niveau sécurité, l'amélioration est très importante : comme pour OpenID, plus besoin de faire confiance à tout le monde, il suffit de faire confiance à une personne. Sauf que pour OpenID, il faut faire confiance à son fournisseur d'e-mail ET à son serveur OpenID, ce qui fait deux personnes au lieu d'une.

    Citation Envoyé par pcdata Voir le message
    Et si pas de mot de passe mais juste une adresse e-mail : quid sur un ordinateur partagé !??
    Tes gosses vont accéder à ton compte bancaire ? Vive Noël !!
    Les comptes bancaires ont une authentification forte. Pour tous les autres cas, les gens demandent en général à enregistrer le mot de passe dans le navigateur. N'importe qui ouvrant le navigateur a donc accès à tous les comptes. Persona reste plus sécurisé car une session se périme, ce qui n'est pas le cas des mots de passe qui restent enregistré tout le temps.

    Quoi qu'il en soit, si tu partages une session avec quelqu'un, c'est que tu as confiance en lui. Si tu n'as pas confiance en tes enfants, tu te dois d'avoir une session séparée.

    Citation Envoyé par pcdata Voir le message
    Et même avec l’authentification à deux facteurs (SMS je suppose), tu te fait cambrioler ton appartement : ordinateur et téléphone (ce qui n'arrive mais alors jamais...) et là Youpi, le jackpot pour les cambrioleurs.
    Une fois encore, les mots de passe étant en général enregistrés dans le navigateur, je ne vois pas la différence entre avant et après Persona en terme de sécurité et, encore une fois, Persona l'est même plus puisque la session n'a pas une durée illimitée. De plus, j'ose espéré qu'il y a un mot de passe pour ouvrir ta session, que ce soit sur ton ordinateur ou ton téléphone. Dans le cas contraire, ce n'est pas a Persona qu'il faut imputer le manque de sécurité.

    Citation Envoyé par pcdata Voir le message
    Et il ne faut pas croire, mais il y en a pour qui c'est un métier de trouver les moyens de te "niquer" : il suffit de voir déjà avec le phishing comme ça marche bien.
    Et plus tu simplifie les choses, plus ça les arrangent.
    En évitant d'avoir à retenir des dizaines de mots de passe et donc de les écrire quelque part, ou carrément d'utiliser le même partout en le confiant à des dizaines de sites différents, pas forcément de confiance, Persona augmente la sécurité tout en simplifiant la vie de l'utilisateur.

    Citation Envoyé par pcdata Voir le message
    Et même au delà de ça, il existe un adage qui prévaut depuis des lustres : "Ne jamais mettre tous ses œufs dans le même panier".
    Et c'est encore plus vrai en ce qui concerne la sécurité.
    Il est plus difficile de garder un oeil sur tous les paniers en même temps, et au final, tu te feras certainement piquer un oeuf.

    En l'occurrence, tous les oeufs ne sont pas dans le même panier : tu en as un par adresse mail.
    "Historiquement, techniquement, économiquement et moralement, Internet ne peut pas être contrôlé. Autant s’y faire." Laurent Chemla

    Je soutiens Diaspora*, le réseau social libre.

    Veillez à porter une attention toute particulière à l'orthographe...

    Blog collaboratif avec des amis : http://geexxx.fr

    Mon avatar a été fait par chiqitos, merci à lui !

  9. #9
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par Hinault Romaric Voir le message
    Mozilla lance la bêta de Persona
    son système d’authentification centralisée pour le Web, qui met fin aux identifiants et mots de passe

    [...]

    Le but du projet est de permettre aux utilisateurs de s’identifier sur différents sites sans mot de passe spécifique et sans avoir recours à des services d’authentification centralisée comme Facebook ou OpenID[...]

    Les personnes désirant utiliser le système doivent au préalable créer un compte sur le site persona.org, définir un mot de passe [...]
    Je sais pas pour vous, mais la contradiction est un peu grosse la quand même, non ? On parle d'une authentification centralisée pour ne plus avoir recours aux authentifications centralisées... J'invente rien, c'est l'article qui le dit.

    Comme le souligne Neko, c'est une question de confiance : soit on crois en Facebook, soit on crois en Persona. En suivant la discussion, il semble que la responsabilité devrait être retransmise au provider mail... mais on ne fait que décaler le problème : j'ai pas forcément envie que mon provider mail ait les infos qui lui permette d'accéder à tous les sites que je visite en utilisant mon compte.

    De plus, on a toujours le problème de la centralisation des données (comme pcdata le souligne aussi), et donc de l'intérêt croissant qu'on donne au propriétaire de la base de données : les crackers ne s'attaqueront plus au provider que pour récupérer tes mails, mais aussi pour accéder à tes sites favoris avec ton propre compte.

    Perso, j'aimerais ne faire confiance qu'à mon navigateur open source préféré, que ce soit lui qui stocke de manière sécurisée mes données (l'intérêt du distribué, c'est que tu te fais pas cracké tes données parce que t'es dans la même base de donnée que ce type qui a des ennemis partout). Mais s'il semble que Persona utilise le navigateur, il semble tout de même que ça utilise aussi un service externe pour générer les clés, donc on doit toujours faire confiance à ce service extérieur (qu'il ne stocke pas les clés, ne les revendent pas, ne se fasse pas cracker, ...).

    Non, mise à part qu'il le font différemment, je ne vois pas en quoi leur système est plus sécurisé.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  10. #10
    Membre éclairé
    Profil pro
    Ingénieur sécurité
    Inscrit en
    Février 2007
    Messages
    574
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : Industrie

    Informations forums :
    Inscription : Février 2007
    Messages : 574
    Points : 751
    Points
    751
    Par défaut
    @pcdata, @Matthieu Vergne, je vais faire une seule reponse car vos postes vont dans le même sens. Vous ne comprenez pas les aspects techniques de cette solution et comment elle adresse la plupart des points que vous soulevez.
    Citation Envoyé par pcdata Voir le message
    Et pour que ton adresse serve pour plusieurs comptes, il faut bien que ton adresse et les clés soit stockée en base de données quelque part !?
    Donc tu dépends forcément du propriétaire de cette base de donnée.
    La seule base de données de laquelle tu dépends est le couple user/pwd de ton provider mail. C'est déjà le cas actuellement. Pas besoin de service tiers.
    La base d'authentification contenant les clés privées nécessaire a l'authentification est locale au navigateur. Elle t'es locale.
    Citation Envoyé par pcdata Voir le message
    Et si pas de mot de passe mais juste une adresse e-mail : quid sur un ordinateur partagé !??
    Tes gosses vont accéder à ton compte bancaire ? Vive Noël !!
    J'ai déjà évoqué le cas d'un ordinateur publique plus haut. Les clés générées on une durée de vie courte et son stockée localement. Supprime tes cookies, ou deloggue toi de ton provider mail. L’accès n'est plus possible.
    Le cas que tu évoques est relatif aux sessions et est identique avec le système actuel. Si tu ne fermes pas tes sessions, leur contenu est toujours valide.
    Citation Envoyé par pcdata Voir le message
    Et même avec l’authentification à deux facteurs (SMS je suppose), tu te fait cambrioler ton appartement : ordinateur et téléphone (ce qui n'arrive mais alors jamais...) et là Youpi, le jackpot pour les cambrioleurs.
    Rien a voir et rien de différent d'aujourd'hui (en considérant que tu n'as pas de pin, ni mot de passe, ni que tes disques sont chiffres, ni que...). Ça fait beaucoup d'erreur.
    De plus rien n’empêche (bien au contraire), d'utiliser Persona comme un seul élément du 2 factor.
    Citation Envoyé par pcdata Voir le message
    Et il ne faut pas croire, mais il y en a pour qui c'est un métier de trouver les moyens de te "niquer" : il suffit de voir déjà avec le phishing comme ça marche bien.
    Le phishing n'a plus de sens avec cette Persona, car il n'y a pas de user/mdp a voler.
    Citation Envoyé par pcdata Voir le message
    Et plus tu simplifie les choses, plus ça les arrangent.

    Et même au delà de ça, il existe un adage qui prévaut depuis des lustres : "Ne jamais mettre tous ses œufs dans le même panier".
    Et c'est encore plus vrai en ce qui concerne la sécurité.
    C'est totalement faux en sécurité. Tu cherches justement a réduire ta surface d'attaque en ne multipliant pas les services. C'est un principe de base. Plus ton information est répandue, plus tu t'exposes a des attaques.

    @Matthieu Vergne
    Citation Envoyé par Matthieu Vergne Voir le message
    Je sais pas pour vous, mais la contradiction est un peu grosse la quand même, non ? On parle d'une authentification centralisée pour ne plus avoir recours aux authentifications centralisées... J'invente rien, c'est l'article qui le dit.
    Oui, c'est mal formule dans l'article, comme souvent avec les articles de vulgarisation sur developpez. La grosse difference avec Personna, c'est que si tu veux implementer le cote provider (CA) de la solution tu peux. Pas avec Facebook ID. En gros c'est une solution centralisee dans le sens ou l'authentification a des services tiers est centralisee. Mais c'est une solution decentralisee, car n'importe qui peut implementer le cote provider de la solution.
    Citation Envoyé par Matthieu Vergne Voir le message
    Comme le souligne Neko, c'est une question de confiance : soit on crois en Facebook, soit on crois en Persona. En suivant la discussion, il semble que la responsabilité devrait être retransmise au provider mail... mais on ne fait que décaler le problème : j'ai pas forcément envie que mon provider mail ait les infos qui lui permette d'accéder à tous les sites que je visite en utilisant mon compte.
    Non, c'est incorrect. Ton provider mail ne possédé pas les clés privées. Il ne fait que signer ta clé publique (Role du CA). Le problème de confiance est identique a celui de la PKI et pour l'instant on a rien trouve de mieux. Tu fais confiance au CA pour qu'il ne génère pas un certificat identique au tien pour quelqu'un d'autre.
    Encore une fois si tu ne fait pas confiance a ton provider mail, rien ne t’empêche de jouer le rôle de CA (idp) toi même. Tu ne dépends ainsi de personne.
    Citation Envoyé par Matthieu Vergne Voir le message
    De plus, on a toujours le problème de la centralisation des données (comme pcdata le souligne aussi), et donc de l'intérêt croissant qu'on donne au propriétaire de la base de données :
    Globalement, c'est facile de sécuriser un service centralise avec une authentification forte (2 factor...). C'est impossible de sécuriser des services distribues que tu ne contrôles pas. De plus la supériorité de la PKI en matière d'authentification comparée au mot de passes n'est vraiment pas a démontrer. Ta surface d'attaque est énorme quand tu dépends de 50bdd plutôt qu'une. Vu le nombre de services utilises de nos jours, tout le monde réutilise ses mots de passe, ou fait confiance au navigateur pour les stocker dans le cloud. Ces 2 solutions sont bine pires que Persona.
    Citation Envoyé par Matthieu Vergne Voir le message
    les crackers ne s'attaqueront plus au provider que pour récupérer tes mails, mais aussi pour accéder à tes sites favoris avec ton propre compte.
    C'est déjà le cas. Ou vont tes mails de réinitialisation de mot de passe?
    Citation Envoyé par Matthieu Vergne Voir le message
    Perso, j'aimerais ne faire confiance qu'à mon navigateur open source préféré, que ce soit lui qui stocke de manière sécurisée mes données (l'intérêt du distribué, c'est que tu te fais pas cracké tes données parce que t'es dans la même base de donnée que ce type qui a des ennemis partout). Mais s'il semble que Persona utilise le navigateur, il semble tout de même que ça utilise aussi un service externe pour générer les clés, donc on doit toujours faire confiance à ce service extérieur (qu'il ne stocke pas les clés, ne les revendent pas, ne se fasse pas cracker, ...).
    Non, c'est faux. Les clés sont bien sur générée localement. Tu ne transmet que ta clé publique au provider que pour signature.
    Citation Envoyé par Matthieu Vergne Voir le message
    Non, mise à part qu'il le font différemment, je ne vois pas en quoi leur système est plus sécurisé.
    Je vais pas reprendre tous les points, mais:
    • crypto asymetrique
    • non utilisation de mot depasse (ta securite ne depends pas d'un site stockant tes mots de passes en clairs ou md5)
    • Rend les attaques par phishing et MITM inutiles (sans utilisation de crypto)
    • authentification centralisee


    Je vous invite vraiment a lire ce lien et a relancer le débat avec des arguments solides.

  11. #11
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par dahtah Voir le message
    @pcdata, @Matthieu Vergne, je vais faire une seule reponse car vos postes vont dans le meme sens. Vous ne comprenez pas les aspects techniques de cette solution et comment elle adresse la plupart des points que vous soulevez.
    Effectivement, j'ai pas compris grand chose, c'est bien pour ça que je disais que je voyais pas en quoi c'était mieux, et que j'y allais à coup de "il semble que". L'article m'ayant donné une mauvaise impression de par le manque d'explications sur le procédé et la formulation ambigüe, et les liens donnés dans l'article ne m'ayant pas aidé à comprendre, il m'était forcément difficile de voir où était l'avantage.

    Citation Envoyé par dahtah Voir le message
    Je vous invite vraiment a lire ce lien et a relancer le debat avec des arguments solides.
    C'est tout de suite plus clair, même si j'ai pas encore bien compris la totalité de la seconde étape (mais je mettrais ça sur le coup des 4h du matin {'^_^}). En tout cas ça ressemble bien plus à ce que j'espérais avoir, voilà qui me soulage.

    Donc nan je relancerai pas le débat, argument solide ou pas {^_°}.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  12. #12
    Membre à l'essai
    Profil pro
    Développeur informatique
    Inscrit en
    Août 2009
    Messages
    9
    Détails du profil
    Informations personnelles :
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Août 2009
    Messages : 9
    Points : 10
    Points
    10
    Par défaut
    Bonjour,

    Premièrement, il faut quand même saisir un mot de passe pour générer le certificat (si j'ai bien compris) :


    @pcdata, @Matthieu Vergne, je vais faire une seule reponse car vos postes vont dans le même sens. Vous ne comprenez pas les aspects techniques de cette solution et comment elle adresse la plupart des points que vous soulevez.
    Deuxièmement, une fois le certificat installé et puisque vous avez bien compris le système : Expliquez-moi comment s'assurer que l'utilisateur derrière l'ordinateur est bien celui qu'il prétend être ?

    Ce système ressemble beaucoup au certificat en Java mis en place par les Impôts au début des déclarations en ligne.
    Ils en sont revenu d'ailleurs à un système d'identification à 3 données personnelles.

    Ce certificat vérifie que le navigateur est bien celui qui a fait la demande mais comment être sûr que c'est bien le même utilisateur ? Reconnaissance vocale, ADN, rétinienne, empreinte digitale, mot de passe...??! Ha tiens...mot de passe !

    J'installe le certificat en 1er sur mon ordi à la maison. Je vais au travail sur mon ordi professionnel, je renouvelle le certificat.
    Pendant mes congés, un stagiaire utilise mon ordi : Comment être sûr que c'est bien moi et non le stagiaire qui connait mon adresse e-mail ?
    Les clés générées on une durée de vie courte et son stockée localement. Supprime tes cookies, ou deloggue toi de ton provider mail. L’accès n'est plus possible.
    Si tu veux te reconnecter à nouveau, tu régénères le certificat, qu'est-ce qui prouve que c'est bien toi ?
    Ou alors il faut confirmer son BrowserID (mot de passe) à chaque fois ?

    Ce système fait une vérification de machine à machine mais absolument pas de l'humain derrière la machine puisqu'il ne doit pas prouver qui il est par une information qu'il est le seul à connaitre : un mot de passe par exemple.
    Sauf pour la première génération et on y reviens...au mot de passe.

    Dans le cas d'un couple ou d'une famille partageant une seule adresse e-mail, et il y en a, il ne pourront pas se connecter en même temps chacun sur son ordinateur (un dans le bureau, l'autre dans le salon) sur leur site de vente en ligne préféré pour faire chacun de leur côté leurs emplettes ?! Singleton ?

    C'est totalement faux en sécurité. Tu cherches justement a réduire ta surface d'attaque en ne multipliant pas les services. C'est un principe de base. Plus ton information est répandue, plus tu t'exposes a des attaques....
    Ta surface d'attaque est énorme quand tu dépends de 50bdd plutôt qu'une.
    Alors : avoir une clé login/mot de passe différent pour chaque site web est moins sûr qu'une clé login/mot de passe valable pour tous les accès ??!
    Étrange concept.
    Pour les "50bdd" c'est valable si tu stocke 50 fois la même info, pas si tu stockes des infos différentes à chaque fois.
    Vu le nombre de services utilises de nos jours, tout le monde réutilise ses mots de passe, ou fait confiance au navigateur pour les stocker dans le cloud.
    C'est surtout un problème de bon sens et "d'éducation".

    Je n'utilise pas les gestionnaire de pwd des navigateurs, je n'utilise pas les services de stockage en ligne ou de type cloud pour des données perso.
    Et j'ai une logique simple de création des mot de passe basé sur une clé perso qui me permet d'avoir un mot de passe différent pour chaque accès web avec le même e-mail ou en le variant.
    Et mon système est certainement plus sécurisé que Persona puisque je dois prouver que c'est bien moi...à chaque fois.
    Et ce n'est ni compliqué, ni difficile à mettre en oeuvre, ni à utiliser.

    Et à voir dans le temps, mais ça m'étonnerais que les banques ou les Impôts utilisent ce système.

  13. #13
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par pcdata Voir le message
    C'est surtout un problème de bon sens et "d'éducation".
    Mais les problèmes que tu soulèves (comme laisser son ordi pro allumé et qu'un stagiaire l'utilise) c'est aussi une question de bon sens. Un stagiaire est censé avoir son propre PC, avec son propre compte. Il n'est pas censé utiliser le PC de son chef ou autre. Le problème existe déjà aujourd'hui et Persona n'essaye pas de le résoudre, il en résout un autre. On peut pas tout avoir.

    Pour le coups de l'adresse familiale, même s'il peut être fréquent, ça n'empêche pas que chacun puisse avoir aussi sa propre adresse. Ceux qui utilisent une adresse non perso sont ceux qui ne reçoivent quasi jamais de mails et qui, très probablement, ne vont donc que rarement sur internet.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  14. #14
    Modérateur
    Avatar de Flaburgan
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2010
    Messages
    1 229
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Avril 2010
    Messages : 1 229
    Points : 3 579
    Points
    3 579
    Par défaut
    Et je compléterai en rajoutant que oui, effectivement, si tu vides les cookies, tu vas devoir resaisir ton mot de passe la prochaine fois que tu loggueras en utilisant Persona.
    "Historiquement, techniquement, économiquement et moralement, Internet ne peut pas être contrôlé. Autant s’y faire." Laurent Chemla

    Je soutiens Diaspora*, le réseau social libre.

    Veillez à porter une attention toute particulière à l'orthographe...

    Blog collaboratif avec des amis : http://geexxx.fr

    Mon avatar a été fait par chiqitos, merci à lui !

  15. #15
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    Et si j'ai bien compris, la durée de validité est de 24h, donc de toute façon y'a pas d'histoire de "si quelqu'un l'utilise pendant que je suis en congé". Et puis éteint ton PC quand tu pars en congé, ça abimera moins la planète {^.^}~.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  16. #16
    Expert éminent sénior

    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Mars 2013
    Messages
    426
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Enseignement

    Informations forums :
    Inscription : Mars 2013
    Messages : 426
    Points : 32 561
    Points
    32 561
    Par défaut
    Mozilla dévoile la bêta 2 de Persona
    son système d’authentification centralisée pour le Web, qui met fin aux identifiants et mots de passe

    Mozilla vient de publier la bêta 2 de Persona, son alternative pour l’authentification basée sur le Web.

    Avec cette bêta, n’importe quel fournisseur de services de messagerie pourra devenir également un fournisseur d’identité Persona, grâce à la nouvelle fonctionnalité « Identity Bridging ». Robert Nyman de Mozilla fait savoir que la plupart des fournisseurs de services de messagerie populaires prennent en charge les protocoles OpenID et OAuth.

    Ainsi, lorsqu’un utilisateur se connecte à un site web supportant Persona, le système de côté serveur de Persona vérifie le nom de domaine de l’adresse mail. Si ce nom de domaine est configuré pour la fonction « Identity Bridging », un serveur spécial appelé « Bridge » convertit le protocole ldP utilisé par Persona pour une compatibilité OpenID ou OAuth, en vue de l’authentification des utilisateurs. Cette étape ne nécessite pas de vérification par e-mail.

    Pour l’instant, cette fonctionnalité n’est disponible que pour les adresses Yahoo.

    La version pour Firefox OS a reçu un traitement particulier. En effet, elle bénéficie d’un support natif, la rendant plus rapide. Mozilla ajoute néanmoins que des versions optimisées pour Firefox pour Android et Desktop devraient voir le jour dans le futur.

    Par ailleurs, la liste des sites Web supportant Persona est encore restrictive. « Born This Way Foundation », « Firebase » et « Eclipse Foundation » sont les grands noms présents à ce jour.

    Les autres améliorations apportées par cette bêta concernent les temps de chargement des boutons et des fenêtres de Persona. Ils sont désormais deux fois plus rapides. « Nous savons que la performance est un élément clé pour chaque site. Pour cela, nous avons accéléré le temps de chargement de nos boutons et fenêtres », peut-on lire sur la page officielle.

    [ame="http://www.youtube.com/watch?v=KIFvKVJ6vk4"]Présentation de Persona bêta 2[/ame]

    Pour rappel, le but du projet Persona est de permettre aux utilisateurs de s’identifier sur différents sites sans mot de passe spécifique et sans avoir recours à des services d’authentification centralisée comme Facebook ou OpenID, et aux sites Web de ne plus s’inquiéter sur la sécurité des mots de passe.


    Source : Mozilla


    Et vous ?

    Utilisez-vous Persona ? Trouvez-vous le concept du projet intéressant ?

Discussions similaires

  1. Microsoft lance la bêta publique de MED-V 2.0
    Par Idelways dans le forum Virtualisation
    Réponses: 1
    Dernier message: 16/10/2010, 11h36
  2. Microsoft lance la bêta publique de MED-V 2.0
    Par Idelways dans le forum Actualités
    Réponses: 1
    Dernier message: 16/10/2010, 11h36
  3. Mozilla lance la version finale de Thunderbird 3
    Par Djug dans le forum Actualités
    Réponses: 18
    Dernier message: 22/04/2010, 06h23
  4. Navigateurs : Mozilla lance le plug-in Test Pilot pour Firefox 3.5
    Par Emmanuel Chambon dans le forum Actualités
    Réponses: 8
    Dernier message: 14/08/2009, 17h36
  5. Réponses: 0
    Dernier message: 17/07/2009, 13h16

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo