Avec Passkeys, Safari va s'affranchir des mots de passe
L'avenir va se vivre sans mots de passe. Dans Safari, Passkeys va permettre de s'authentifier avec l'aide du capteur biométrique de sa machine, Mac comme iPhone ou iPad. Ce sera une longue transition, donc les mots de passe ne vont pas disparaitre du jour au lendemain. Mais c'est un changement de fond qui va finir par s'imposer, assure Apple.
Apple n'est pas seule sur ce terrain : Google, Microsoft et d'autres travaillent en commun pour un futur sans mots de passe, sous l'égide de l'alliance FIDO.
Apple, Google et Microsoft travaillent avec l’alliance FIDO pour éliminer les mots de passe
Apple avait déjà déposé des cailloux sur ce chemin durant la WWDC21 en présentant ses premiers travaux sur Passkeys.
Passkeys et WebAuthn : Apple imagine un futur sans mots de passe
A voir si je veux me connecter sur un forum à partir d’un pc.. mais bon. Synology est bien capable de me demander l autorisation de connection sur mon iPhone quand je me connecte à mon bas à partir d un pc alors… wait and see
👏
J'ai un peu du mal à comprendre comment ça va marcher tout cela, ni comment cela pourrait être plus sécurisé.
En outre actuellement je m'identifie déjà avec le capteur biométrique de mon appareil, ça remplit le mot de passe enregistré dans le trousseau qui se synchronise sur tous mes appareils.
D'après le peu que j'ai compris de ces nouveautés l'authentification sera associée d'une manière à l'autre à l'appareil autant qu'à l'utilisateur, si c'est le cas le changement d'appareil risque de ne pas être très fluide, du moins dans les premiers temps.
Et puis le problème de cette nouvelle technologie est qu'elle devra être adoptée par les développeurs de sites, vu que certains utilisent encore des technologies totalement obsolètes, ça va prendre un bon moment...
@Marius_K
Lors de la présentation ils ont dit que les PassKey seront synchronisés sur iCloud donc le changement d’appareil sera transparent a priori.
(Doublon)
@Marius_K
c'est le principe des clés U2F
vous pouvez aussi voir les Yubikey de Yubico et autres clés de sécurité usb, ou les applications U2F pour android/ios.
-
les trois industriels Microsoft, Google et Apple se sont engagés à popularisés (de force) l'authentification à double facteur+bluetooth d'ici 2024.
et c'est une trèèèèès bonne chose.
-
dans un tel mécanisme, vous avez toujours une possibilité alternative pour valider votre identité (succession de questions, mot de passe archi complexe, numéro de téléphone de confiance, etc), qui sera nécessaire que quand vous changez vos appareils ou dans les cas extrèmes où le site/ordinateur n'arriverait pas à valider votre identité.
Le point est:
- faire moins reposer les sites tiers sur des mots de passe qui finissent par fuiter tôt ou tard, ou encourage l'utilitaire à mettre "MédorCestMonChien" comme mot de passe partout
- se basser sur des jetons chiffrés générés par la double combinaison de deux machines dont que vous avez déjà prouvé votre identité dessus (faceid, passephrase, empreinte digitale, mot de passe temporaire envoyé à vous par SMS ou via appplication installé sur la machine, etc).
Le but c'est qu'il soit impossible qu'une personne puisse se passer pour vous, car il faudrait qu'il ait à la fois votre mot de passe ET physiquement sur lui votre appareil de confiance. Normalement vous savez que vous avez été volé et auriez déjà provoqué une déclaration de vol/verrouillage de votre machine/comptes.
dans la version renforcée que vont pousser Microsoft/Google/Apple, NFC ou bluetooth est utilisé pour garantir que l'appareil de confiance est à quelque mètres de la machine sur laquelle vous voulez authentifier un site ou autre.
-
ces mécanismes issus de FIDO alliance et U2F sont de plus en plus imposés sur les sites de services pour entreprise, et les banques. Et progressivement renforcés et améliorés.
Dommage j'attendais une refonte du gestionnaire de mots de passe…
Une application dédiée peut être ...
1Password gère déjà les clés et restera utile pour associer à chaque site, non seulement les clés mais aussi le contenu des formulaires et les pièces jointes (contrat, licence...)
@Cyrille50
1Password c’est surtout de l’argent gaspillé alors que sur le marché pour les besoins de la plupart de gens existent des alternatives gratuites.
@Tech
Non. J'utilise aussi un PC et plusieurs navigateurs dans chaque. Tout fonctionne à partir d'une seule base de MDP de manière absolument fluide. Pour MacGe par ex., j'ai associé les 3 URL à mes ID/MDP. J'ai uploadé des PDF ou des copies écran utiles pour chaque compte : contrat, lettre d'entrée en relations, etc. Tout est bien rangé et tagué. C'est une petite journée de travail au départ, vu que j'ai 200 entrées principales. Mais je ne changerais pour rien au monde.
@Cyrille50
Oui. Faux.
@Tech
Factuellement j'utilise 1Password sur tous mes navigateurs sur Mac, PC Windows, iPhone et iPad, le tout étant synchronisé. 1Password gère à la fois les ID/MDP et les clés, ainsi que les infos (PDF des contrats etc.). Pour 3€/mois cela me convient PARFAITEMENT.
@Cyrille50
Oui, mais vous êtes en mesure de payer pour qq chose qui est utile pour vous.
La plupart des gens n’ont pas à la fois un mac , un pc , un iPad et un iPhone. Vous faites partie d’une catégorie minoritaire à l’échelle mondiale.
Une personne lambda (la majorité) avec un portable et un ordinateur n’a pas besoin d’un abonnement à 1Password.
@Cyrille50
Je parle des gens lambda pas des personnes comme vous, professionnel, semi professionnel ou indépendant.
Ok mais demain tu perds ton téléphone car on te le vole… Imaginons… Et tu veux te reconnecter à ton compte Apple avec un autre tel. Tu fais comment si t’as pas le mdp ?
Mais non, ça ne pose pas de problème, Apple considère évidemment que tu possèdes aussi un mac, voire 2, et sans doute un iPad. J'ai bien entendu parler de synchronisation de ces clés entre les différents devices, non?
@axelf
Oui, c’est synchronisé sur le trousseau d’accès
@axelf
Ouaip…
Mais la fois où je me suis volé mon tel à l’étranger j’avais QUE mon tel… Et je te raconte pas la galère pour me connecter sur mon compte Apple avec un autre device que le mien avec la double authentification activée. Heureusement que ma carte SIM française était restée le porte-feuille et que j’avais pris une carte SIM locale dans le tel.
il te suffit d'acheter un nouvel iphone, easy 🙂
@SidFik
J'aurais pas dit mieux 😂
Ce système n’a aucun rapport avec des gestionnaire des mots de passe.
Il n’y a plus de mots de passe.
Le navigateur va uniquement indiquer au site web « Jean Dupont » est connecté avec succès et c’est bien lui.
Le mot de passe ne circule jamais a travers le réseau.
La seule question c’est comment côté serveur on va valider cette authentification ?
Selon moi, ce mécanisme fonctionne déjà sur les sites Web compatibles. Par exemple onelog.ch si on crée un login depuis Safari pour un média utilisant cette plate-forme, le site nous propose de nous connecter ensuite (à la place) avec Touch Id ou Face ID. C'est ensuite une clé spécifique à l'appareil, stockée dans le trousseau qui remplace le mot de passe. On ne peut donc plus le retrouver si on souhaite l'utiliser dans un autre navigateur ou sur un autre OS... (test à l'appui).
Je n’ai pas regardé en détail, mais il me semble sue le principe de base, c’est de remplacer le mot de passe par un élément de biométrie (reconnaissance d’un doigt, du visage,…).
Même si cela est un cas aux limites (edge cases), je me demande comment qqu’un qui a eu un accident grave (ex: accident de voiture qui aboutit a des fractures du visage, doigts coupés,…) fera pour se connecter a ses comptes clients APRES un accident ???
Je pense que ce sera une alternative aux mots de passes et non un remplacement.
Donc une personne dont les éléments biométriques ne fonctionnerait plus devrait pouvoir se connecter avec ses mots de passe et, éventuellement, enregistrer de nouveaux éléments biométriques.
Sinon moi je trouve ça plutôt intéressant. Comme ça on utilise des moyens d'identifications plutôt sures et difficilement falsifiable à distance et on peut mettre ses mots de passes "dans un coin à l’abri" juste au cas où. Genre une clé USB cryptée par exemple.
Moi je souhaite un truc milti-plateforme, et je vais continuer avec ma solution.