Sécurité : 1Password prend en charge les clés U2F/WebAuthn

Anthony Nelzin-Santos |

Depuis l’an dernier, 1Password permet de protéger son coffre-fort numérique avec un deuxième facteur d’authentification, qui prend la forme d’un code TOTP à six chiffres. Ce procédé est désormais commun, mais impose d’utiliser une application pour générer les codes. 1Password offre désormais une autre solution, les clés de sécurité compatibles U2F, par l’entremise du nouveau standard d’authentification WebAuthn.

Comme un code TOTP, la clé joue le rôle de second facteur d’authentification, après le mot de passe. La clé doit être préalablement enregistrée et liée au compte 1Password, une procédure impliquant WebAuthn, le nouveau standard d’authentification sur le web. Le navigateur fait le lien entre le serveur et la clé, assurant la sécurité de l’authentification.

Dans le cas du gestionnaire de mots de passe, le serveur de 1Password génère un « jeton » unique, puis le transmet au navigateur avec quelques données supplémentaires. Le navigateur envoie le tout à la clé, qui renvoie une réponse signée. Le serveur vérifie cette réponse : si les données décodées correspondent bien aux données envoyées, et que la signature correspond bien à la clé publique de l’appareil, l’authentification est validée.

WebAuthn est intégré aux navigateurs Firefox 60+, Chrome 67+ et ses dérivés Opera et Edge, et sera intégré à Safari 13. Nous avons testé cette fonction avec une clé Yubikey 5C, mais n’importe quelle clé compatible U2F fera l’affaire, comme les clés Titan et Feitian. Avec Chrome 70+, vous pourrez aussi utiliser le capteur Touch ID des MacBook Pro/Air. Une application d’authentification reste nécessaire sur les anciens navigateurs et 1Password pour macOS/iOS.

avatar alexis83 | 

Vraiment hâte que ça ce démocratise j’en ai marre de sortir l’iPhone pour taper le code à chaque fois !
Édit : iOS 13 va-t-il prendre en charge les clés U2F via la NFC ?

avatar Zara2stra | 

Bonsoir,
J’ai une question : est-ce que l’authentification à deux facteurs est disponible pour ceux qui ont la licence perpétuelle de 1password 7 (Version 7.3 [70300020] ) ?
Si oui, comment s’active-t-elle ?

Deuxième question : Avez-vous prévu de faire une revue (un test) sur la clef Yubikey 5C (qui est relativement chère par rapport aux autres) ? Notamment ses avantages, et inconvénients et la raison motivant votre choix (qui peut être qu’elle vous a été donnée, ou que vous avez eu un rabais de 70 %) ?

Merci d'avance de votre retour.

avatar Ribero92 | 

+1

CONNEXION UTILISATEUR