Google Code : Un nouveau coup porté à votre énorme liste de mots de passe

Cet Article est la traduction d'une annonce officielle publiée par Google.

Y-a-t’il une personne en ce monde qui aime les mots de passe ? Ce n’est pas le cas de la plupart des gens, qui finissent souvent par avoir à garder une trace d’une énorme liste de noms d’utilisateurs et de mots de passe pour se connecter sur les sites Web qu’ils visitent.  Les webmasters les détestent car il devient difficile d’inciter leurs visiteurs à se créer un nouveau compte sur leurs sites, et presque 50% des nouveaux comptes ne sont jamais validés. Grâce à l’utilisation de nouvelles technologies, nous parvenons maintenant avec un certain succès à éliminer la nécessité des mots de passe, et à porter le pourcentage d’inscriptions validées à plus de 90%. Les exemples les plus visibles viennent de Plaxo, Facebook, Yahoo! et Google, qui utilisent une technologie que les professionnels appellent dans leur jargon « l’embarquement hybride » (hybrid onboarding). Par le passé, lorsque vous étiez un utilisateur de Gmail et que vous receviez une invitation pour Facebook ou Plaxo, il vous était demandé de passer par le procédé habituel de création d’un nouveau compte avec encore un nouveau mot de passe, pour ensuite fournir votre mot de passe Gmail afin que Plaxo ou Facebook puisse avoir accès à votre liste d’amis. Avec l’embarquement hybride, si vous cliquez sur une invitation depuis votre compte Gmail, vous verrez une page comme celle-ci :

Cliquer sur le gros bouton sur la fenêtre de Plaxo vous redirige vers la page ci-dessous :

Si vous autorisez le partage de quelques informations, vous retournez sur Plaxo et l’inscription est terminée.

Le processus d’inscription traditionnel comprenait plus de 10 étapes, dont un de ces emails de validation que vous deviez trouver dans votre boîte de réception. Si vous suivez les étapes décrites plus haut, vous pouvez vous inscrire sur Plaxo plus facilement — en cliquant simplement sur un bouton.

Alors que les résultats commencent à se faire sentir chez Plaxo depuis début 2009, d’autres entreprises comme Facebook se mettent à utiliser ce même modèle et à reconnaître sa valeur potentielle. En même temps, le modèle d’embarquement hybride améliore la sécurité lors l’identification, car les sites comme Plaxo n’ont jamais accès à un seul de vos mots de passe. N’ayant pas à saisir votre mot de passe sur des sites tierces, ce dernier est moins utilisé et a moins de chance de se retrouver entre de mauvaises mains. Nous tenons à applaudir Plaxo et Facebook pour avoir créer cette expérience utilisateur, et pour nous avoir poussé à apporté les optimisations nécessaires à la réalisation de leur projet. Nous sommes aujourd’hui ravis d’annoncer que ce processus d’identification est maintenant accessible à tout opérateur de site Web. Toutes ces techniques d’embarquement hybride sont basées sur des techniques standardisées prises en charge à la fois par Google et par Yahoo!, et que les autres clients de messagerie commencent à adopter.

L’embarquement hybride est également utilisé par les fournisseurs de logiciels SaaS (Software as a Service) — comme ZoHo — qui désirent éliminer le besoin des employés de leurs clients de se créer un autres mot de passe. Cette technique d’identification est d’ailleurs non seulement disponibles sur les comptes Google classiques, mais également sur les comptes Google Apps. De plus, après une évaluation de la sécurité et de la confidentialité de ces technologies, ces mêmes techniques vont être mises en place par la Maison Blanche pour permettre aux citoyens américains de se connecter plus facilement aux sites gouvernementaux.

Il reste encore du chemin à parcourir avant que vous puissiez jeter votre interminable liste de mots de passe aux oubliettes, mais ces progrès démontrent le potentiel des plus gros sites à adopter l’embarquement hybride. Nous espérons que beaucoup d’autres sites suivront.

Pour les développeurs :

Nous sommes parvenus à ces résultats en combinant nos APIs OpenID, OAuth et Portable Contacts. Bien que ces APIs soient disponibles depuis plus d’un an, nous y avons apporté un certain nombre d’améliorations basées sur nos expériences avec Plaxo et Facebook. Notre documentation inclue maintenant des informations sur ces nouvelles fonctionnalités :

  • OpenID User Interface Extension 1.0 (dont la possibilité d’afficher la favicon du site)
  • x-has-session, une amélioration des requêtes checkid_immediate via l’extension de l’UI. Si la requêtes contient « openid.ui.x-has-session« , la réponse le mentionnera si Google détecte une session authentifiée.
  • Prise en charge du profil GSA du gouvernement américain pour OpenID.
  • PAPE (Provider Authentication Policy Extension) pour la prise en charge des demandes forcées de mots de passe

Bien que ces technologies soient basées sur des standards, les méthodes utilisées n’ont pas été simples à trouver. Plus de détails sont disponibles sur le Guide de l’embarquement hybride, mais voici un rapide résumé :

  • La technique est principalement pour les sites Web possédant un système d’identification basé sur les adresses email.
  • Il est aussi sous-entendu que le site Web enverra des emails à des utilisateurs non inscrits, que ce soit par le biais du marketing social traditionnel, ou par un système d’invitations.
  • Le développeur doit ensuite choisir un petit groupe de fournisseurs prenant en charge ces standards, comme Yahoo! et Google.
  • Lorsque le site Web envoie un email à un utilisateur de l’un de ces services de messagerie, les liens menant vers les pages d’inscription doivent être modifiées pour communiquer l’adresse email en question (ou au moins le domaine).
  • Si la page d’inscription détecte un utilisateur provenant de l’un de ces domaines, elle ne doit pas initier le processus normal de création d’un compte. Elle doit à la place n’afficher qu’un seul gros bouton indiquant « S’inscrire avec votre compte Google » — où Google est remplacé par le nom du fournisseur.
  • Si l’utilisateur clique sur ce bouton, le site Web doit utiliser le  protocole OpenID pour demander au fournisseur d’authentifier l’utilisateur, fournir leur adresse email, et dans certains cas demander l’autorisation d’accéder au carnet d’adresse via le protocole OpenID/OAuth et l’API Portable Contacts. Plus de détails sur cette procédure sur le blog d’OpenID.
  • Une fois que l’utilisateur revient, le site doit lui créer un compte. Le site peut également marquer l’adresse email comme validée sans avoir à envoyer d’email de vérification. Si le site Web a reçu l’autorisation d’accéder au carnet d’adresse, il peut le télécharger et utiliser les informations de contacts.
  • Dans le cas où l’adresse email aurait déjà un compte sur le site, ce dernier peut simplement connecter l’utilisateur à ce compte existant.
  • Pour tout nouveau compte, le site doit afficher une page confirmant à l’utilisateur son inscription, et lui indiquant comment se connecter la prochaine fois.
  • Pour simplifier le processus de connexion, le site Web devrait modifier leur page d’identification pour y inclure les logos des fournisseurs de confiance, ou utiliser l’une des autres expériences de connexion fédérée.
  • Si un utilisateur clique sur un logo, il peut être redirigé à nouveau vers le site de ce fournisseur grâce au protocole OpenID. Lorsque l’utilisateur revient, le site web peut soit détecter si un compte existe déjà et le connecter, ou bien créer un nouveau compte.

Par Eric Sachs, Chef de projet, Google Securité

3 Commentaires

  1. Excellent article! Effectivement la stratégie de Zoho a depuis le début été d’intégrer au maximum sont écosystème à celui de Google, cela facilite la vie des utilisateurs des deux fournisseurs et leur permet de passer de manière transparent d’un environnement à un autre. Tout le monde est gagnant! Attendez-vous donc à voir encore plus d’intégrations entre Zoho et Google à l’avenir.

    Note: je travaille pour la société Aliston qui est partenaire en France de Zoho pour leur CRM et toute leur suite d’applications cloud computing. Plus d’informations sur aliston.fr

  2. Pingback: Documentation

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>