Le gestionnaire de mots de passe 1Password se prépare à un futur sans mot de passe
Sous l'ombrelle de la FIDO Alliance, Apple, Google et Microsoft veulent faire disparaître les mots de passe au profit de passkeys (codes d'accès) plus robustes et plus pratiques. Si l'initiative prend, et il y a des chances que ce soit le cas, on n'aura plus à saisir de mot de passe pour se connecter sur un site web, l'authentification se fera grâce à un échange de clés cryptographiques validé par Touch ID/Face ID ou un second appareil.
Les codes d'accès seront synchronisés sur ses appareils Apple grâce au trousseau iCloud ou bien sur d'autres terminaux via son compte Google ou Microsoft. Aussi pratique soit-elle, cette nouvelle méthode d'authentification ne risque-t-elle pas de renforcer le rôle déjà énorme de ces géants du numérique ? Poser la question, c'est déjà y répondre un peu, mais les passkeys ne seront pas circonscrits aux moyens d'Apple, Google et Microsoft.
Le gestionnaire de mots de passe 1Password a rejoint au début du mois la FIDO Alliance pour faire partie de ce futur sans mot de passe. L'éditeur AgileBits est en train d'implémenter le nouveau système d'authentification au sein de son application. Comme le montre la démo ci-dessous, à terme, on pourra enregistrer ses codes d'accès dans l'application 1Password et donc se servir de celle-ci pour se connecter aux sites web sans mot de passe (et sans iCloud ni son iPhone).
Même si les passkeys sont sur de bons rails, les mots de passe ne vont pas disparaître du jour au lendemain. Dans ce contexte où plusieurs méthodes d'authentification cohabiteront (on peut aussi citer les « Connexion avec Apple » et autres « Se connecter avec Google » déjà bien en place), AgileBits pense pouvoir tirer son épingle du jeu. Avec son projet d'« Universal Sign On », 1Password compte cacher toute la complexité de l'authentification, quelle qu'elle soit, à ses utilisateurs. Les autres coffres-forts numériques devront sans doute eux aussi s'ouvrir aux passkeys s'ils veulent avoir un avenir.
Une bonne nouvelle ! Ça évolue bien chez eux. Pour l’utiliser de manière quotidienne en entreprise et perso, c’est vraiment pas mal. On réfléchit même à un déploiement complet chez nous (entreprise), car bitwarden/keepass et compagnie c’est bien, c’est gratuit…. Mais l’utilisateur final n’y comprends rien, l’user expérience n’est pas leur fort mais ça peut se comprendre quand c’est open source !
@ Sébastien R.
"...car bitwarden/keepass et compagnie c’est bien, c’est gratuit…. Mais l’utilisateur final n’y comprends rien, l’user expérience n’est pas leur fort mais ça peut se comprendre quand c’est open source !"
Tu ne connais visiblement pas assez (voir pas du tout) Bitwarden pour écrire cela.
Et mettre tout ce qui est Open Source dans le même panier dénote également un manque d'un autre niveau.
Cette solution vit ses dernières années
@MarcMame
+1
"Futur sans mot de passe" ça veut quand même carrément rien dire.
L'utilisateur devra toujours s'authentifier d'une manière ou d'une autre (biométrie ou mot de passe maître). Et heureusement d'ailleurs.
@joneskind
S'il y a biométrie, il n'y a pas de mot de passe et il n'est pas nécessaire d'en mettre un sur son dispositif d'authentification si l'on est sûr de ne pas se le faire voler.
@joneskind
""Futur sans mot de passe" ça veut quand même carrément rien dire.
L'utilisateur devra toujours s'authentifier d'une manière ou d'une autre"
———
Pourtant, la langue française est assez claire sur ce point.
Une identification biométrique ne nécessite aucun mot de passe…
@MarcMame
Quelque part, pourtant, si : lorsque l’identification biométrique échoue ou ne peut se faire, l’alternative prévue est le mot de passe.
“ "Futur sans mot de passe" ça veut quand même carrément rien dire.
L'utilisateur devra toujours s'authentifier d'une manière ou d'une autre (biométrie ou mot de passe maître). Et heureusement d'ailleurs.”
C’est juste un raccourcis. Généralement, authentification sans mot de passe sous-entend, ‘sans mot de passe en ligne’. Parce que ce sont les mots de passe de passe qui circulent sur le réseau, qui sont les plus vulnérables, d’où l’idée de les remplacer par des mécanismes plus forts (Kerberos, FIDO2, certificat X.501, etc.).
Par contre, l’accès au terminal de confiance ou la clé FIDO2 peut encore être protégé par un code PIN ou mot de passe local (donc utilisable uniquement sur cet appareil là).
Après, selon les appareils, la biométrie vient en plus du mot de passe (comme le fait Apple avec Face ID et Touch ID), ou peut totalement remplacer le mot de passe.
1password... 100€/an, pour le ingénierie pour chercher à remplir le plus de formulaires possibles, je trouve cela cher mais pourquoi pas. Par contre pour stocker des paires de clés et d'authentifier selon une méthode protocolaire, c'est hors de prix. Je préfère encore le coder moi-même.
@koko256
Moi ça me coûte 36€/an. Pas 100€. Et vu les services que ça me rend sur Safari, Edge, Firefox sur macOS et Windows et iOS, j'espère bien continuer avec eux.
@Cyrille50
Je trouve que c'est trop cher pour le service qui stocke juste les clés privées.
@koko256
Il stocke plein de choses : mes licences logicielles, preuves d'achat, passeport, CNI, RIB. L'intérêt c'est que pour un compte donné tout est au même endroit.
Et à quand un « se connecter avec 1Password » tout simplement sur les sites, à égalité avec Apple, Google et… LinkedIn ?
Maîtriser les passkeys, les passwords et les signwith serait réellement une solution universelle (pour ne pas dire tentaculaire et hégémonique) pour devenir indispensable, auto-suffisant et ultime non ? Parce que les « se connecter avec Apple/Google » réduisent fortement l’utilité de 1Password en face…
En tout cas impressionnant et hâte d’en découvrir plus sur ce fameux « futur sans mot de passe » qui n’en sera pas totalement un mais pourtant radicalement différent d’aujourd’hui…!
[Modéré - SM]
[Modéré - SM]
[Modéré - SM]
[Modéré - SM]
Black miror, c'est plus de la SF, et les gens trouvent ca bien...
@mimolette51
Tu peux développer ?
à terme, on pourra enregistrer ses codes d'accès dans l'application 1Password et donc se servir de celle-ci pour se connecter aux sites web sans mot de passe et sans iCloud
Cool.
On pourra remplacer une solution gratuite par une solution payante avec abonnement.