1Password lève le voile sur son futur sans mots de passe qui débutera en 2023
Comme prévu, 1Password va lui aussi adopter Passkeys, cette nouvelle technologie pensée pour remplacer les mots de passe et conçue par tous les acteurs majeurs du web, Apple, Google et Microsoft en tête. Le gestionnaire de mots de passe détaille sur son site ce futur sans mot de passe et présente même une démonstration, limitée pour le moment à Chrome sur les ordinateurs. Elle permet néanmoins de découvrir un système qui fonctionne comme les codes d’accès d’iOS, ce qui est logique après tout, c’est la même technologie sous-jacente.
Les codes d’accès sont en réalité une combinaison d’une paire de clés unique, une publique qui est transmise sur les serveurs du site web ou service et une privée qui reste en sécurité sur vos appareils. Apple stocke la clé privée dans le trousseau iCloud, qui est lui-même en sécurité dans l’enclave sécurisée de ses appareils. 1Password utilise son coffre chiffré à cette fin, avec l’avantage que les codes d’accès sont synchronisés entre tous vos appareils, par le biais du service en ligne de l’entreprise.
Ces codes d’accès se retrouvent d’ailleurs dans l’app, avec les autres identifiants traditionnels basés sur un identifiant et un mot de passe. Les codes d’accès ne sont pas visibles, ce qui est logique : que la clé soit privée ou publique, elle n’est pas faite pour être utilisée par un humain et elle reste ainsi toujours masquée. Il est malgré tout important de garder une trace des sites pour lesquels vous avez enregistré un code d’accès, d’autant qu’un identifiant reste le plus souvent nécessaire. Comme toujours, l’extension de 1Password se chargera de remplir cette information pour vous.
1Password commencera à prendre en charge les sites avec codes d’accès au début de l’année 2023. Dans un premier temps, seuls les navigateurs des ordinateurs seront pris en charge, les navigateurs des smartphones et tablettes ne viendront qu’ensuite. Cette fonctionnalité sera réservée à 1Password 8 et aux formules d’abonnement proposées avec cette version, les utilisateurs qui sont restés sur les anciennes apps devraient passer à côté de la nouveauté.
Ils ont raison de se presser, parce que s’ils arrivent après Google et Apple, ils seront morts. Là, ils leur restent une petite chance de survie.
@Nesus
Tu as probablement raison, la gestion des mots de passes sera entre autre au gafa, ce que l’email à été au FAI. Un moyen de plus de rendre captif.
Perso j’utilise toujours la solution d’Apple, ça me va très bien
@arekusandoro
Peux-tu m’expliquer comment faire ? J’ai entendu parler de cette nouveauté mais impossible de la mettre en pratique (je ne la vois pas non plus dans les réglages d’iOS)… Il faut que le site web en question soit compatible ou pas du tout ?
@Quentin-Gabriel
Il faut que le site soit compatible ainsi que le navigateur. J’utilise pour ma part sur Boursorama. Avec Safari 16, il enregistre le passkey dans le trousseau. Avec Brave, il faut scanner un QR code avec l’iPhone. Avec Firefox, marche pas
Je n’aime pas ces systèmes sur lesquels ce n’est pas moi qui gère et sur lesquels je n’ai pas la main. Je préfère largement décider moi même comment gérer mes identifiants sans dépendre de quiconque.
@Jeckill13
"Je préfère largement décider moi même comment gérer mes identifiants sans dépendre de quiconque."
——-
A moins d’être développeur, tu dépends au minimum de la solution que tu auras choisis.
Sauf si tu as une mémoire phénoménale ou un calepin évidemment…
@Jeckill13
Du coup il va falloir apprendre un peu de crypto asymétrique. C'est assez simple cependant. Quand les normes seront décodées on devrait trouver un app en JavaScript, Python ou Swift qui fait le taf.
C’est la fin je pense pour eux , perso j’ai pas renouveler mon abonnement annuel qui se terminait début novembre , j’ai réussit à exporter tout mes MDP dans iCloud je voit pas comment ils vont survivre avec les passkeys …
En choisissant iCloud vous vous enfermez dans l'environnement Apple. Dès aujourd'hui ça peut vous poser problème si vous utilisez ponctuellement un PC sous Windows, mais demain si vous avez envie de quitter meme partiellement l'environnement pommé, ce ne sera pas simple de retrouver vos mots de passe ou key pass...
Me concernant j'évite au maximum ce genre de piège et recherche les solutions les plus universelles possibles (en veillant aux solutions d'export pour en changer facilement si besoin)
@r e m y
Techniquement non car Windows possède son extension iCloud pour les mots de passe et est en cours de développement pour les passkeys
En tout cas, il parait plus pratique d’avoir une solution la plus agnostique possible au niveau de l’OS et/ou navigateur. Être enfermé dans l’univers Apple, Google ou Microsoft paraît risquer plus de blocage qu’une solution « indépendante » comme 1Password, Dashlane ou les autres qui prendront en charge les passkeys.
Ce sera trop tentant pour les "GAM" de limiter la praticité en-dehors de leurs OS et/ou navigateurs.
Surtout que pour le moment il n’y a pas de solution pour transférer ses passkeys d’une plateforme à l’autre facilement (pour le moment, c’est une à une, manuellement !!!).
Voyons comment ça se présente dans les prochains mois, mais je ne me risquerais pas à une solution qui peut potentiellement me coincer dans quelques années au moment du renouvellement de matériel…
[supprimé pour cause doublon]
@alnorell
Hmmmm… c’est être très confiant en Apple, qui a tout de même un passif important pour nous retenir au mieux dans son environnement ! A vous de voir, hein, mais sans moi ! Si je veux passer à Android dans 3 ans en gardant mon Mac, je serais marron avec des clés qui ne synchroniseront peut-être pas entre les deux !
@r e m y
Je partage également cet avis (Je suis sur Dashlane depuis des années). J’essaie d’éviter d’être trop Apple dépendant.
@r e m y
J’ajouterai qu’il serait aussi condamné à utiliser Safari sur macOS
@r e m y
Ça marche pas mal les mots de passes iCloud sur Windows avec Chrome ou Edge… Apple a développé une extension
C’est donc une viable qui a remplacé LastPass pour moi quand celui-ci est devenu payant
Comment fait on lorsqu'on veut se connecter à un site/compte sur un ordinateur public ? Ou sur un support qui ne prend pas en charge cette nouveauté (ex : SVOD sur TV connectée ou box) ?
@lecucurbitacee
Pour la première question, il me semble que le site pourra afficher un qrcode à scanner avec un iPhone ou un iPad, et c’est ce dernier que fera l’authentification avec les clés qu’il possède en local.
Dans ce cas, les sites compatibles vous présentent alors un QR code que vous pouvez scanner avec votre téléphone qui contient vos clés et cela vous autorise à vous connecter.
A tester en vrai pour voir si ça fonctionne bien (et si ce sera bien implanté par les sites web).
@Tom PostProd
Oui mais ça ça fonctionne à condition que l’ordinateur utilise un navigateur compatible et qu’il possède du Bluetooth ET du wifi. Car une connexion directe doit être établie entre les deux.
Précision importante, merci.
J’ai toujours pas compris ce système.
En gros, le trousseau Apple (ou autres gestionnaires de mdp), cree une clé (non visible par nous) qui sert pour s’authentifier sur un site ?
Mais du coup, c’est quoi la différence entre ça et un mdp lui aussi stocké dans le trousseau (ou autres gestionnaires de mdp) ? A part le fait que l’un est invisible et l’autre visible ?
@TiTwo102
Le mot de passe ne circule jamais sur internet, il est spécifique à un seul site donc pas de phishing possible… plein d’avantages !
@TiTwo102
En gros c'est un couple de mot de passe, très complexe, unique à ce site et le site en a une moitié (la partie publique) et toi l'autre (la partie privée) du coup même si la partie publique fuitait suite a un hack du site elle ne servirait à rien sans la partie privée. Donc pour te voler ton "mot de passe" il faudrait a la fois hacker le site et ton iCloud ou 1Password ou autre (sachant que le pirate ne sait pas où tu stockes ta clé privée). Et même le phishing ne fonctionnera plus pour récupérer un mot de passe. Par contre le phishing d'info bancaire continuera ^^.
@Tibimac
Merci c’est plus clair. Mais c’est pas déjà le principe du 2FA de rien pouvoir faire avec le mdp ?
Parce que là, je comprends bien l’avantage que tu décris, mais j’y vois aussi des inconvénients. Le premier c’est que ce sera une galère pour se connecter sur un PC, une tablette, ou autres qui ne nous appartient pas. Le 2eme c’est la dépendance obligatoire aux gestionnaires de mdp, et à leurs tarifs.
@TiTwo102
Le 2FA c'est une sécurité en plus sur un site donné mais si le hacker récupère ton mot de passe il peut le tester sur d'autres sites, dont certains n'ont pas de 2FA et le 2FA n'est pas infaillible (à cause de l'humain), 1Password vient de faire un article là dessus et le hack de Uber il y a quelques semaines le prouve.
Tu ne seras pas dépendant des gestionnaires de mot de passe car les passkeys vont être integré aux OS (macOS, iOS, Windows, etc..) mais si tu veux plus d'indépendance vis a vis de l'OS alors oui il faut passer par un gestionnaire de mot de passe.
Pour se connecter il sera possible de scanner un QRCode avec son propre device pour s'authentifier dessus et ça se connectera "tout seul" sur le site je crois, un peu du genre de ce qu'on trouve déjà sur des apps TV qui, pour te connecter, te demande d'aller sur leur site avec ton smartphone, de te connecter et puis d'autoriser le nouvel appareil en saisissant un code a 4 chiffres. Du coup tu te connectes sur ton device et ça autorise l'autre a se connecter, ce sera un peu le même principe.
On fait comment quand on a pas un clavier TouchID d’Apple ? Il y a des solutions tierces ?
À défaut de biométrie sur ton Mac, celui-ci te demandera surement ton mot de passe de session pour utiliser la clé. Le principe reste le même. Et quand tu utiliseras la dites clé sur ton iPhone alors là FaceID sera utilisé.
Et pour Dashlane ? Ils ont annoncé quelques choses ?