larlet-fr-david/david/biologeek/archives/20070418-myopenid-propose-des-solutions-interessantes-contre-le-phishing/article.md

title:      myOpenID propose des solutions intéressantes contre le phishing
slug:       myopenid-propose-des-solutions-interessantes-contre-le-phishing
date:       2007-04-18 10:48:42
type:       post
vignette:   images/logos/myopenid.png
contextual_title1:  ★ Comment utiliser OpenID, la solution d'identification tant attendue
contextual_url1:    20070104-comment-utiliser-openid-la-solution-d-identification-tant-attendue
contextual_title2:  ★ Discussions sur les applications web libres
contextual_url2:    20091202-discussions-sur-les-applications-web-libres
contextual_title3:  ★ Pourquoi avoir peur de Google ?
contextual_url3:    20080907-pourquoi-avoir-peur-de-google

<p>Après vous avoir expliqué <a href="https://larlet.fr/david/biologeek/archives/20070104-comment-utiliser-openid-la-solution-d-identification-tant-attendue/">comment utiliser OpenID</a>, j'avais fait un bref rappel sur les <a href="https://larlet.fr/david/biologeek/archives/20070109-openid-et-phishing-sont-dans-un-bateau/">possibilités de phishing associées à OpenID</a>. <a href="https://www.myopenid.com/">myOpenID</a>, fournisseur d'accès à OpenID, a innové hier en proposant deux solutions. Analyse de ces nouvelles protections.</p>

<h2>Une image personnelle dans un cookie</h2>


<p>C'est une parade assez intéressante, une question personnalisée stockée de la même façon aurait le même intérêt, mais l'aspect visuel est plus intéressant.</p>


<p>La page d'accueil par défaut&nbsp;:</p>


<p><img src="/static/david/biologeek/images/openid/openid_accueil.png" alt="Page d&#039;accueil de myOpenID" style="display:block; margin:0 auto;" /></p>


<p>Et une fois personnalisée (vous pouvez bien sûr changer d'image à tout moment)&nbsp;:</p>


<p><img src="/static/david/biologeek/images/openid/openid_nenuphar.png" alt="Page d&#039;accueil de myOpenID personnalisée" style="display:block; margin:0 auto;" /></p>


<p>Le cookie est propre au navigateur donc il faut renvoyer une image (pas forcément la même d'ailleurs) pour chaque navigateur que vous utilisez couramment. L'avantage de cette méthode est qu'elle est simple à mettre en œuvre et qu'elle vous permet d'identifier une tentative de phishing du premier coup d'œil. Mais il y a encore mieux...</p>


<h2>Un certificat <abbr title="Secure Socket Layer">SSL</abbr></h2>


<p>C'est LA solution idéale. myOpenID propose actuellement deux possibilités d'identification&nbsp;:</p>


<p>via un identifiant/mot de passe habituel&nbsp;:</p>


<p><img src="/static/david/biologeek/images/openid/openid_identification.png" alt="Page d&#039;identification de myOpenID" style="display:block; margin:0 auto;" /></p>


<p>ou via un certificat SSL&nbsp;:</p>


<p><img src="/static/david/biologeek/images/openid/openid_ssl.png" alt="Page d&#039;identification via SSL de myOpenID" style="display:block; margin:0 auto;" /></p>


<p>Une fois le certificat mis en place, vous êtes assuré de vous adresser au bon nom de domaine lorsque vous vous connectez.</p>


<p>Au final, le nouveau site a gagné en clarté grâce à un relifting réussi et de nouvelles fonctionnalités bien pratiques sont apparues, autant dire qu'il a maintenant ma préférence face à ses concurrents. J'ai bien fait de faire initialement ce choix, à vous de faire le votre ou d'en changer, c'est l'intérêt d'un système décentralisée :-).</p>


<p>J'en profite pour vous informer du lancement d'un <strong>nouveau blog collaboratif francophone dédié à OpenID</strong> (actualités, tutoriels, traductions, etc)&nbsp;: <a href="http://wordpress.openidblog.fr/">OpenID Blog</a>. Il est possible que je participe à cette initiative intéressante.</p>