Gérer son identité en ligne : OpenID et ClaimID (2/3)

Publié le 16 juin 2008 par Eogez
A la question "Comment faire pour prouver que c'est bien vous qui êtes l'auteur du contenu d'une page Web ?", posée dans le billet précédent, la réponse est courte : "aucun, nothing, nada, nichts."
Voyons néanmoins ce qu'apportent deux outils couramment cités : OpenID, et ClaimID.

OpenID

OpenID est un projet qui gagne en popularité, et qui permet en tant que tel, uniquement la chose suivante : éviter de retenir un nouvel identifiant et un mot de passe chaque fois que vous vous inscrivez à un nouveau service sur le Web.
Ainsi si vous souhaitez ouvrir un compte chez Magnolia (un service de partages de signets), au moment de vous inscrire :
  • Vous indiquez à magnolia : je possède un compte OpenID "toto".
  • Magnolia va alors s'adresser à votre fournisseur d'identité OpenID, par exemple myopenid.com, en lui disant : "je viens de la part de monsieur toto qui veut ouvrir un compte chez moi."
  • myopenid.com vous demande alors de vous identifier (en général avec un login et un mot de passe, donc pas de certificat qui a prouvé à myopenid.com que vous êtes qui vous dites être).
  • Ce que vous faites,
  • Et myopenid.com indique à Magnolia : "ça y est monsieur toto est identifié."
Ainsi, et myopenid.com et Magnolia vous connaissent comme monsieur toto, et vous n'entrez votre mot de passe que chez myopenid.com. Cela devient intéressant lorsque vous multipliez les inscriptions à travers le web.
ClaimID
Chez ClaimID, vous ouvrez un compte (avec un nom bidon peut-être, par exemple, madame Y), et sur ce compte vous indiquez sur une page ClaimID les sites qui vous correspondent, et ceux qui ne vous correspondent pas. Par exemple, "Les confessions de Madame Y" ce n'est pas vous, "Les astuces bricolage de Madame Y" si.
Le service ClaimID va également un peu plus loin : il vous fournit un numéro compliqué, le microId (par exemple : 1442543dgfsgfsdgfdgfsd51544dddTRaeZa) que vous pouvez ajouter sur une page Web (au hasard, "Les astuces bricolage de Madame Y"). ClaimID vérifie ensuite que ce numéro existe bien sur la page Web, et affiche sur son site qu'il a vérifié cette page est bien une page de Madame Y, puisqu'y figure un numéro connu seulement de cette dame. Le problème de la véritable identité de "Madame Y" reste entier.
Ces outils sont-ils suffisants ? Nous verrons dans le prochain billet qu'il en existe d'autres.