persona

Mozilla nous a présenté le 10 avril dernier la version béta 2 de son système d’authentification unique sur site web (web SSO) : persona.

A ne pas confondre avec personas le gestionnaire de thème pour firefox, persona est un add-on permettant aux utilisateurs de s’authentifier une première fois en saisissant son couple login / mot de passe puis par la suite de s’identifier sur un autre site en entrant uniquement son adresse mail.

1 ) L’intérêt du SSO

De nos jours, de plus en plus de sites web nous demandent de nous authentifier avant de pouvoir les utiliser, ce qui signifie qu’il faut créer un compte pour chacun de ces sites et de ce fait un identifiant et un mot de passe.

Les problèmes rencontrés par les utilisateurs sont les suivants :

  • Si il utilise le même login / mot de passe pour chacun des sites que visité, un risque évident d’intégrité et de sécurité apparaît. En effet si une application est piraté et que les informations de l’utilisateur sont récupérées, alors le pirate peut avoir accès à n’importe quelle autre application de l’utilisateur utilisant ces mêmes informations. C’est pourquoi il est préférable d’avoir un mot de passe différent pour chaque site. La contrainte associée est qu’à partir d’un grand nombre de site web, il devient difficile de retenir un grand nombre de mots de passe.
  • Il est également fréquemment demandé aux utilisateurs d’utiliser des mots de passes forts (au moins 8 caractères couvrant plusieurs classes de caractères) pour éviter les attaques de type force brute, ce qui complexifie l’apprentissage de ces mots de passe.
  • Si on couple les deux points précédents, on obtient alors une multitude de mots de passe forts à retenir pour l’utilisateur, ce qui à terme peut s’avérer très compliqué. C’est là qu’entre en jeu la solution de SSO (Single Sign-On) Persona qui va s’occuper de connecter l’utilisateur sur le site sans que celui-ci n’ai besoin de saisir son mot de passe, grâce à ça l’utilisateur n’aura plus besoin de retenir qu’un seu mot de passe : celui de persona !

2) Fonctionnement de Persona

Persona utilise le protocole BrowserID pour vous authentifier sur les sites web, cela consiste à transmettre l’adresse mail de la personne au site concerné, un peu comme si vous présentiez votre carte d’identité, afin d’effectuer la connexion. A la première connexion un mot de passe est demandé à l’utilisateur afin de s’assurer de l’authenticité de la personne qui se trouve derrière le poste de travail, puis par la suite l’utilisateur n’aura plus qu’à renseigner son adresse e-mail.

Malheureusement il n’est pas possible d’utiliser Persona avec tous les sites web mais uniquement avec ceux qui ont prévu ce type de connexion ; cela se présente sous la forme du bouton suivant : bouton_persona.

Si vous souhaitez ajouter cette méthode de connexion à votre site web, vous pouvez suivre la procédure qui se trouve ici.

persona_authent

3) Les avantages

  • On n’a plus besoin de retenir qu’un seul login / mot de passe
  • Le site web visité ne connait plus votre mot de passe, plus de risque si le site web est piraté
  • On peut utiliser plusieurs adresses de messagerie avec Persona, cela permet de séparer les identités (travail, maison, etc…)
  • Plus besoin de créer de compte sur les sites web que l’on a jamais visité.
  • On ne reçoit plus de publicité ciblée grâce aux informations que l’on fournit lors de la création d’un compte sur un site web

4) Conclusion

Persona est un excellent moyen de naviguer sur le web sans risque d’oublier ses mots de passes ni de se les faire pirater. Il contribue à améliorer le confort de l’utilisateur sur la toile en lui faisant gagner un temps non négligeable en s’occupant à sa place de l’inscription et de la connexion  au site web tout en renforçant la sécurité et l’anonymisation de celui-ci.

Petite note en plus, Persona est disponible et optimisé sur Firefox OS. On regrettera néanmoins que ce système ne soit pas étendu à d’avantages de sites web ce qui restreint malheureusement son utilité. Sachez que si vous souhaitez participer à l’évolution du produit les développeurs sont à la recherche d’utilisateurs et de webmasters afin de peaufiner leur produit.

Sources :