Mozilla avait plus tôt dans l’année lancé un projet baptisé Persona dont l’intérêt est de fournir un système d’identification unique. Il ne s’agit pas d’une fonctionnalité de Firefox, mais d’une plateforme décentralisée dans laquelle les sites web peuvent plonger leurs racines. Jusqu’à présent sous forme expérimentale, Persona est désormais disponible en bêta.
Persona est donc un système en arrière-plan des sites web dont la mission est de stocker des informations d’identification. Le grand objectif est ici de supprimer complètement le besoin de recourir à des mots de passe unique pour chaque site web. Une philosophie comparable en fait à ce que propose OpenID, à la différence que Mozilla a travaillé spécifiquement sur la facilité d’utilisation.
Persona, anciennement BrowserID, mise avant tout sur la simplicité d’utilisation. On peut voir dans la vidéo ci-dessus que la procédure est très simple pour l’utilisateur. Mozilla annonce que ce service est compatible avec tous les principaux navigateurs fixes et mobiles et qu’il est disponible dans 25 langues pour le moment. L’éditeur précise en outre que la majorité de ses propres sites utilise déjà Persona.
La plateforme est entièrement open source et Mozilla prend un malin plaisir à spécifier que l’ensemble est chapeauté par une organisation à but non lucratif (la fondation Mozilla). L’intégralité du système repose sur une ou plusieurs adresses email qui seront vérifiées par Mozilla, mais toutes pourront reposer sur un mot de passe unique. Une fois connecté au sein d’une session de navigation, le même compte peut être utilisé sur tous les sites gérant Persona, avec si nécessaire une adresse email différente.
Mozilla indique sur son site que Persona ne gère que les informations d’identification. L’historique de navigation de l’utilisateur ne quitte pas son ordinateur et il n’y a donc pas de surveillance des habitudes. La fondation Mozilla n’est de toute manière liée à aucune structure publicitaire.
L’expérience utilisateur de Persona semble avoir été très nettement travaillée et est agréable. Restent deux barrières : la prise en charge par les sites web (problème éternel de l’œuf et de la poule) et la sécurisation des données. Cette dernière ne dépend en effet pas seulement de Mozilla, car si l’utilisateur ne doit à terme avoir qu’un seul mot de passe, ce dernier devra être sélectionné avec un soin crucial.
Les utilisateurs et développeurs web intéressés pourront se rendre sur le site officiel pour en savoir davantage.
Commentaires (81)
C’est quoi la différence entre un même mot de passe pour tous mes sites ou un mot de passe pour avoir accès a tous mes mots de passe ?
C’est bien connu : si ma clef unique ouvre ma voiture, ma maison, mon coffre fort, elle sera bien plus sujette au vol.
Ou si je l’égare (si on voit mon mdp), la tentation de l’essayer sera plus grande qu’en temps normal où la clef ne sert qu’à une seule chose.
Je pense que la gestion du trousseau est certainement la solution la plus intéressante.
Le problème est justement, que tout est lié à un compte.
Et dire que je me plains de Disqu parce qu’on reste “connecté” au même compte alors qu’on visite des sites différents …
C’est un peu le même principe que l’auto- connexion et inscription via Facebook, non ?
pour le coup niveau sécurité je n’ai pas bien compris, ni à quoi ça sert ni ce que ca peux apporter en GAIN à l’utilisateur
Mozilla indique sur son site que Persona ne gère que les informations d’identification. L’historique de navigation de l’utilisateur ne quitte pas son ordinateur et il n’y a donc pas de surveillance des habitudes. La fondation Mozilla n’est de toute manière liée à aucune structure publicitaire.
La seconde partie est cruciale et nécessaire.
La première partie est en effet embêtante. Les pirates vont chercher à pirater Persona plutot que chaque site individuel.
Et s’ils y arrivent, adieu veau, vaches, cochons…
Comment sa se passe pour les BOT??
Si il arrive a s’inscrire dessus, vont t”il spam tous les sites utilisant se système d’authentification?
Je me méfie déjà quand je lis “le moyen le plus sûr”. Si persona contient autant de failles de sécurité qu’en a Firefox (ou que de fuite de mémoire, l’éditeur ayant un grand historique de qualité au niveau de ses produits) c’est déjà pas la peine d’essayer.
Ensuite, tous les forums qui utilisent phpbb ou des scripts du genre ne vont pas magiquement s’y mettrent, dnc ça sera utile sur quelques sites seulement, c’est à dire pas utile.
Ils ne réinventent pas un peu la roue là? OpenID?
personnellement je suis sur internet depuis l’age de 11ans , et franchement, j’en ai plein la tête de remplir des 100en de foi les même champ de texte pour m’inscrire sur des site / forum ^^ (combien de temp de votre vie avais vous avez passez a remplir des inscription ???) donc je suis favorable a ce genre de concepte mais faudrai encor que ce soit utilisé par les site ^^
Possibilité de s’auto-héberger?
(comme firefox sync)
chouette, les pirates peuvent maintenant se concentrer sur un seul pool de serveurs.
Tu trouves le bon mot de passe et un univers magique ou tout est ouvert s’ouvre a toi
" />
Mais ils disent sa aussi:
And, in parallel, we are open to working with other browser vendors who want the same functionality, of course.
Pourquoi ce nom ? C’est déjà pris et par eux en plus !
" />
Sinon +plein, un seul point d’entrée c’est trop risqué. Que ce soit Mozilla ou Tartempion, le problème c’est le principe de tout centraliser. Je reste fidèle à mon fichier texte, doublement chiffré, en attendant de trouver mieux.
Enfin !! Quelques gros acteurs (Google, Mozilla) commencent à se bouger pour améliorer l’identification sur le web.
C’est un domaine que je trouve assez désastreux, devoir retaper son mot de passe, ou appuyer sur un bouton avec le navigateur qui remplit le formulaire après chargement de la page c’est tout de même pas terrible comme expérience utilisateur.
Un système d’authentification automatique décentralisé permettrait de nombreuses choses.
Après, ça fout un peu les choco boules, il faudra voir comment c’est implémenté pour que dans la pratique ça n’aboutisse pas également à un flicage généralisé… mais l’idée a énormément de potentiel.
D’ailleurs mention spéciale à pcInpact qui est incompatible avec la mémorisation des mots de passe (sous Chrome en tout cas).
La fondation Mozilla n’est de toute manière liée à aucune structure publicitaire.
À part Google qui leur fourni l’essentiel de leurs revenus, et qui est responsable de base de plusieurs services de firefox tu veux dire ?
Bonjour,
En fait, ça me fait penser à plusieurs choses:
1/ Tout d’abord, le positif : c’est pas mal qu’il existe plusieurs type de services gérant ce genre de choses, chacun peut y trouver ce qui l’arrange le plus.
2/ Ensuite, neutre : je ne suis pas sûr d’avoir bien compris la valeur ajoutée par rapport à la mémorisation actuelle* dans FX, à part que la gestion se fait en externe, ce qui ne représente pas forcément un atout, même si c’est à la mode.
(*Outils > Sécurité > MDP)
3/ Enfin, négatif : déjà que je ne suis pas particulièrement fier en terme de sécurité de me servir d’une centralisation des MDP dans un navigateur, si en plus un serveur distant “centralise toutes les centralisations” de tout le mode, ça me paraît très tentant (genre ça sent le fait divers dans 2 ans de tous les MDP fuités sur le web pour une raison x ou y).
En bonus, un avis encore plus perso puisque moi aussi ça me gonfle de rentrer des login/mdp sans arrêt, je plussoie très fortement ce qui suit:
A lire certains, ils seraient pour un SSO global …
" />
Et puis quoi encore ?
Désolé si je me trompe, mais vous oubliez un gros avantage de ce genre de service:
" />
La plupart des gens utilisent leur même mot de passe partout.
Même moi, utilisateur relativement avertis, je ne doit pas utiliser plus de 10 couples adresse mail / mot de passe, ce qui est déjà énorme, à retenir.
Résultat, il suffit de s’inscrire sur un site avec une sécurité moisie pour que l’on récupère mon mot de passe et que l’on puisse se connecter à tout mes comptes.
Le nombre de site avec les mots de passe qui ont fui sont gigantesque. Avec le temps, cela me parais inévitable que le mot de passe soit découvert.
Une inscription sur un site de passionné de coquillage avec une faille SQL et des mots de passe en clair, et boom, on a accès à toute mes autres données.
Avec la solution de Mozilla, le mot de passe est centralisé, gérer par une unique organisation de qualité, avec des spécialistes. Donc mot de passe au moins bien salé/hashé.
Et en cas de doute, hop, un nouveau mot de passe, et tout est à nouveau “sécurisé”.
Pour s’inscrire à des forums, ou plein de petit site amateurs, c’est l’idéal.
Après, il faut réfléchir un peu le truc, et pas s’inscrire sur paypall avec cette solution
Mmmmh, perso je préfère mon Keepass.
" />
" />
" />
Laisser un truc en ligne gérer ce genre de données….