OpenID, une solution fiable ?

[juu]

J'entends de plus en plus parler d'OpenID, que ce soit sur les sites dédiés à la programmation et à l'implémentation de la chose, ou dans les grands médias qui y voient une solution à la multiplication des comptes sur internet.

Après les logiciels que l'on installe sur sa machine et qui permettent de retenir sa liste de mots de passe, voilà que s'impose une solution décentralisée et reposant sur des fournisseurs externes.

Personnellement, je ne connais pas le sujet très en profondeur, mais cette recrudescence de popularité m'inquiète quelque peu.
Si le système semble pratique, peut-on vraiment lui faire confiance ?

Le fait d'avoir tous nos comptes accessibles par un seul identifiant n'est-il pas dangereux question sécurité ? Actuellement un cracker réussissant à pirater mon compte sur un site précis n'arrivera pas forcément à faire de même sur mes autres comptes (même si en pratique, dans nombre de cas, les gens utilisent les mêmes identifiants/mot de passe... mais là c'est de leur responsabilité...).
Avec quelque chose comme OpenID, l'accès à mon compte pourra donner accès à tous mes autres comptes.

Et quid de la protection de mes données personnelles ? Toutes les données protégées par un seul identifiant pourront être corrélées et mises en relation sans aucun problème (je pense aussi à tout ce qui est investigations judiciaires)

Mes craintes sont-elles fondées ? Suis-je paranoïaque ? ^^
Que pensez-vous d'OpenID ?

[deadalnix]

L'argument sécurité ne tiens pas : la multiplication des comptes engendre aussi la multiplication des failles.

Quand à la protection des données personelles, il en va de ce que fournis aux sites. OpenID fournis une identifications, rien de plus. Enfin, tu peux avoir plusieurs comptes OpenID

[juu]

Ce que je voulais dire, c'est que si un site est mal sécurisé, le pirate aura accès à ce compte, mais pas au reste. Avec openID, il lui suffira de trouver une faille dans le système pour avoir accès à tout (même si j'imagine que la sécurité est renforcée par rapport à un login classique).

Pour les données personnelles, c'est qu'on a accès à toutes les données derrière ce compte OpenID. Alors qu'avec des identifications classiques, associer les différents comptes entre eux et à une seule personne n'est pas toujours évident.
Un début de solution peut effectivement être de créer plusieurs OpenID, chacun associé à une activité ou un niveau de sensibilité.

[JosephK]

L'argument sécurité ne tiens pas : la multiplication des comptes engendre aussi la multiplication des failles.

Quand à la protection des données personelles, il en va de ce que fournis aux sites. OpenID fournis une identifications, rien de plus. Enfin, tu peux avoir plusieurs comptes OpenID

Un peu de littérature pour l'occasion

Un jour, lorsque ma tente et ma grotte n’existaient encore qu’en projet, il arriva qu’un nuage sombre et épais fondit en pluie d’orage, et que soudain un éclair en jaillit, suivi selon son effet naturel, d’un grand coup de tonnerre. La foudre m’épouvanta moins que cette pensée, qui traversa mon esprit avec la rapidité même de l’éclair : O ma poudre !... Le cœur me manqua quand je songeai que toute ma poudre pouvait sauter d’un seul coup ; ma poudre, mon unique moyen de pourvoir à ma défense et à ma nourriture. Il s’en fallait de beaucoup que je fusse aussi inquiet sur mon propre danger, et cependant si la poudre eût pris feu, je n’aurais pas eu le temps de reconnaître d’où venait le coup qui me frappait.

Cette pensée fit une telle impression sur moi, qu’aussitôt l’orage passé, je suspendis mes travaux, ma bâtisse, et mes fortifications, et me mis à faire des sacs et des boîtes pour diviser ma poudre par petites quantités ; espérant qu’ainsi séparée, quoi qu’il pût advenir, tout ne pourrait s’enflammer à la fois ; puis je dispersai ces paquets de telle façon qu’il aurait été impossible que le feu se communiquât de l’un à l’autre.

[juu]

Diviser pour mieux régner ?

[deadalnix]

Ce que je voulais dire, c'est que si un site est mal sécurisé, le pirate aura accès à ce compte, mais pas au reste. Avec openID, il lui suffira de trouver une faille dans le système pour avoir accès à tout (même si j'imagine que la sécurité est renforcée par rapport à un login classique).

Ce qui est important dans ta phrase c'est « le système ». Du fait qu'il n'y en ai qu'un, une faille dedans aura surrement plus d'importance qu'une faille dans un sytème tierce mais :
1/ De plus, Une faille dans un site ne donnera accès qu'aux infos dudit site, c'est une faille dans OpenID qui peut fournir les infos sur tous les sites.
2/ Le multiplication des comptes implique la multiplication des failles.
3/ Du fait que tout les yeux soient rivés sur OpenID, il est bien plus sécurisé que la plupars des connexions à des sites (aujourd'hui, je peux accéder à 90% de tes comptes avec un simple scan réseau,ce qui n'est pas possible avec OpenID).
4/ Utilises-tu réellement un identifiant/pass différents pour tous tes comptes ?

Une solution avec plusieurs OpenID est bien plus fiable, et de très loin, à une solution type un compte par site.

PS: diviser pour mieux regner est un mauvais argument en sécurité. Car si on diminue la gravité d'un faille, on s'assure d'en avoir.

[MCMic]

1) Je tiens à rappeler qu'on choisis site par site à quels infos ils ont accès, j'ai l'impression que ça a été oublié dans certains posts.
2) Il me semble que le protocole est standardisé et que l'on peut donc stocker son compte openID sur son propre serveur non?