Vers de la micro-authentification avec MicroID
Guy Vigneault juillet 25th, 2008
Article publié originellement chez Fred Cavazza, le 16 Juillet, 2008
Vous connaissiez l’authentification avec identifiant et mot de passe, mais connaissez-vous la micro-authentification ? Pour faire simple il s’agit non pas d’authentifier un utilisateur de façon formelle (en lui demandant ses codes d’accès) mais plutôt de faire de l’authentification “silencieuse”.
Explication : lorsque vous rédigez un commentaire vous pouvez saisir un nom, un email et une URL, mais qui me dit que c’est bien vous ? Pour être plus précis, rien ne vous empêche d’utiliser le nom et l’email de quelqu’un d’autre.
Et c’est là où MicroID entre en scène : ce protocole d’authentification permet de certifier l’identité d’un internaute lorsqu’il dépose un commentaire sur un blog ou fait des modifications dans un wiki. Inutile de vous emballer, ce mécanisme de certification n’est pas inviolable (loin de là) mais il apporte une solution simple et élégante.
Vous noterez donc la subtile différence entre OpenID et MicroID : le premier sert à authentifier un utilisateur sur une service, le second sert à authentifier l’auteur d’un micro-contenu.
Tout repose sur un code (la fameuse MicroID) qui est généré à partir de la concaténation de votre email et d’une URL. Cette URL peut être celle de votre blog ou celle de votre service de gestion d’identité numérique (comme ClaimID ou Wink). Ce code va ensuite servir de clé d’authentification.
Donc pour faire simple :
- Vous allez sur le site MicroID.org pour vous créer votre propre MicroID ;
- Vous publiez cette MicroID sur la page d’accueil de votre blog (ou sur votre page de profil) ;
- Lorsque vous publiez un commentaire (ou du contenu sur un service compatible), le mécanisme compare la concaténation de vos email/URL à celle publiée sur votre blog ;
- Si c’est la même MicroID, alors votre identité est certifiée, vous êtes bien celui que vous prétendez être.
Voilà, MicroID est aux mécanismes de certification ce que les microformats sont au web sémantique : une solution très simple à implémenter qui propose un premier niveau de service tout à fait acceptable.
Bien évidement vous ne vous servirez jamais de MicroID pour payer vos impôts en ligne ou gérer vos comptes bancaires, mais par contre c’est une solution extrêmement bien adaptée aux médias sociaux : un moyen simple de contrôler la prolifération de micro-contenus (commentaires, modifications…) sans pénaliser les utilisateurs (ils n’ont rien à faire si ce n’est paramétrer leur MicroID).
Pour en savoir plus sur ce protocole, je vous recommande la page de Wikipedia ou leur blog. Pour l’instant une petite dizaine de services compatibles ( Last.fm, Wikitravel, Digg…) mais la liste devrait s’allonger.
Il existe un plugin Wordpress pour implémenter MicroID dans les commentaires mais il n’est malheureusement pas compatible avec la dernière évolution majeure (la V 2.5), enfin je crois. Quelqu’un peut-il me renseigner là-dessus ?
MaJ (17/07/2008) : Après lecture des différents commentaires je me rend compte que quelque chose m’échappe dans le processus d’authentification utilisé. Je pense qu’il n’est pas si simple de détourner une MicroID mais leur site web manque effectivement d’explications sur la viabilité du processus. A suivre…
