Une clé de voiturier pour votre identité

À mesure que les services en ligne qui utilisent des données personnelles se multiplient, il est de plus en plus courant que les utilisateurs aient besoin de transmettre des données d'un service à un autre. Cela oblige souvent les utilisateurs à remettre des noms d'utilisateur et des mots de passe, malgré les risques de sécurité évidents impliqués. Un nouveau projet open source appelé OAuth , publié plus tôt ce mois-ci, est destiné à résoudre ce problème en permettant aux utilisateurs de donner aux services une clé de valet pour leurs identités, plutôt qu'un accès complet.





Accès par jeton : Les services Web peuvent utiliser OAuth pour partager des données sensibles sans obliger un utilisateur à donner un accès complet à son identité. Le diagramme ci-dessus cartographie le flux des demandes au fur et à mesure que les services demandent des données et des autorisations les uns aux autres.

Chris Messine , qui a aidé à organiser la production d'OAuth, affirme que le système permettra aux utilisateurs de contrôler la manière dont ils traitent leurs données via les services Web, et les aidera également à être un peu plus sécurisés. Le système permet à un utilisateur d'obtenir un jeton via un site et de le transmettre à un autre. Le jeton dicte ensuite à quoi le deuxième site peut accéder et de quelle manière. Pour y parvenir, le protocole doit définir des méthodes standard permettant aux sites d'identifier les données et de spécifier ce qu'ils vont en faire. Pour fonctionner, OAuth nécessite que les deux sites aient implémenté le protocole. L'utilisateur n'a pas besoin d'en être conscient.

Avec Messine, Blaine Cook de Twitter et Larry Halff de Magnolia travaillé pour démarrer le projet.



La remise des noms d'utilisateur et des mots de passe est une caractéristique de plus en plus courante des sites de réseautage social, y compris des sites bien connus tels que Facebook et LinkedIn . Lors de la phase d'inscription initiale, un site demande à l'utilisateur de saisir les informations d'identification de ses comptes de messagerie afin de pouvoir rechercher des personnes qu'elle pourrait connaître. Il est également courant que les sites offrent aux utilisateurs la possibilité d'inviter leurs contacts existants à rejoindre également le réseau. Mais Messina dit qu'il y a un autre résultat inattendu de la pratique : c'est apprendre à l'utilisateur à faire circuler des noms d'utilisateur et des mots de passe comme des confettis, dit-il.

Multimédia

  • Découvrez comment fonctionne OAuth.

Ils étaient Hammer-Lahav , qui a été l'éditeur de la spécification OAuth de base, a déclaré qu'un récit édifiant est apparu plus tôt cette année lorsqu'un site de réseautage social appelé Quechup a utilisé son accès aux comptes de messagerie via cette fonctionnalité pour envoyer des invitations à chaque personne de la liste de contacts d'un nouvel utilisateur. Pire encore, pour de nombreuses personnes, les e-mails semblaient provenir de l'utilisateur plutôt que de l'entreprise. Hammer-Lahav dit que l'avertissement est moins dirigé vers un site particulier que vers un système qui a besoin d'être amélioré. Le noyau est vraiment ce que nous appelons le triangle amoureux, dit-il. Le triangle amoureux, explique-t-il, est la relation entre l'utilisateur et les deux services Web qui ont besoin de partager des données.

Il ajoute qu'il devient désormais courant pour les sites de gestion financière tels que Comme demander des mots de passe afin d'agréger des informations pour les utilisateurs. En plus de poser un risque pour la sécurité, dit Hammer-Lahav, ce n'est en fait pas le meilleur moyen pour les sites de partager des informations. Les sites agrégateurs doivent souvent extraire des informations financières des pages bancaires en formant leur logiciel à rechercher certains indices dans la source de la page qui signalent des éléments de données clés. Le problème, dit-il, est que si la banque redessine l'apparence d'une page, ces indices pourraient changer, rendant l'agrégateur incapable de lire les informations. Un système tel que OAuth, selon Hammer-Lahav, permet aux sites de partager directement des informations.



L'idée de ce type de système n'est pas nouvelle, dit Terrell Russell , cofondateur du système de gestion d'identité en ligne ID de réclamation . Google , par exemple, a un protocole propriétaire existant qui a des capacités similaires à celles d'OAuth. Cependant, dit Russell, l'absence d'une norme unique gêne les développeurs et les encourage à demander des noms d'utilisateur et des mots de passe. Russell affirme que résoudre le problème consistant à permettre aux services Web de partager des données en toute sécurité deviendra de plus en plus important à mesure que davantage de données migreront vers le Web.

OAuth est implémenté par Twitter et Magnolia, et des parties de la norme apparaissent dans Google OpenSocial Plate-forme. Bien que la version initiale soit un protocole de base contenant les bases de l'échange de jetons entre les sites, Hammer-Lahav affirme que les versions ultérieures donneront aux utilisateurs un contrôle plus précis sur la manière dont ils accordent l'accès à leurs données.

cacher